Selon l’IEEE Computer Society, les incidents liés aux ransomwares ont plus que doublé depuis le début de la pandémie, et leurs conséquences se répercutent bien au-delà du service informatique. Lorsque la Banque d’Angleterre a cité la cyberattaque subie par Jaguar Land Rover (JLR) comme un facteur direct du ralentissement de la croissance du produit intérieur brut (PIB) au troisième trimestre 2025, c’était la première fois qu’un incident cybernétique causait un préjudice matériel à l’économie britannique à l’échelle nationale. La même année, l'enseigne britannique Marks & Spencer (M&S) a estimé que le coût de la remise en état après une cyberattaque dépasserait les 300 millions de livres sterling. Parallèlement, le Centre national de cybersécurité (NCSC) du Royaume-Uni a indiqué que le nombre de cyberattaques majeures avait augmenté de 130 %.
Le paysage des menaces évolue à un rythme tel que les défenses traditionnelles s'avèrent de plus en plus insuffisantes. Le projet Glasswing d’Anthropic a déjà identifié des milliers de vulnérabilités « zero-day » jusque-là inconnues sur tous les principaux systèmes d’exploitation et navigateurs, et l’IA a radicalement réduit le coût de la découverte et de l’exploitation de ces failles. Lorsque de nouvelles variantes de logiciels malveillants peuvent être générées plus rapidement que n’importe quelle base de signatures ne peut être mise à jour, la rentabilité des attaques a définitivement basculé en faveur des pirates.
Ce que font aujourd'hui les entreprises du secteur des services financiers
Les autorités de régulation de toutes les grandes juridictions ne se contentent plus de demander aux organisations si elles disposent de sauvegardes ; elles leur demandent désormais si elles sont en mesure de prouver leur capacité à se remettre d'un cyberincident ciblé et malveillant.
L'article 12 de la loi européenne sur la résilience opérationnelle numérique (DORA) impose aux entités financières de restaurer leurs données à l'aide de systèmes « physiquement et logiquement séparés de la source ». La Banque d’Angleterre, l’Autorité de régulation prudentielle (PRA) et l’Autorité de conduite financière (FCA) ont publié conjointement des lignes directrices exigeant des entreprises d’importance systémique qu’elles démontrent des capacités renforcées en matière de cyber-réponse et de reprise après sinistre.
La Securities and Exchange Commission (SEC) impose désormais la divulgation des incidents cybernétiques significatifs dans un délai de quatre jours ouvrables.
D'autres cadres réglementaires et sectoriels, notamment l'Autorité monétaire de Hong Kong (HKMA), le Conseil indien des valeurs mobilières (SEBI), la directive sur la sécurité des réseaux et de l'information 2 (NIS2) et le Cross Market Operational Resilience Group (CMORG) sur les bonnes pratiques en matière de stockage des données dans le cloud, convergent vers les mêmes attentes :
Environnements de récupération isolés
Intégrité vérifiable des données
Capacités d'intervention documentées
Prises dans leur ensemble, ces exigences vont bien au-delà de ce pour quoi les solutions de sauvegarde opérationnelles traditionnelles ont été conçues.
La plupart des entreprises soumises à la réglementation ont réagi en renforçant leurs stratégies existantes de sauvegarde et de reprise après sinistre. Elles ont investi dans davantage de copies de sauvegarde, une réplication plus fréquente, un basculement plus rapide et des budgets de reprise après sinistre plus importants. Cette réaction est compréhensible, car ces outils ont fait leurs preuves dans le secteur depuis des décennies, face aux pannes matérielles, aux catastrophes naturelles et aux suppressions accidentelles.
Le problème, c'est que les ransomwares ne correspondent à aucune de ces définitions. Il s'agit d'une attaque ciblée et hostile, conçue pour faire échouer vos mécanismes de restauration.
Pourquoi la haute disponibilité, la continuité d'activité et la reprise après sinistre, ainsi que la sauvegarde, n'ont jamais été conçues pour cela
Les systèmes de haute disponibilité et de continuité d'activité/reprise après sinistre (BC/DR) répliquent les données en temps réel. Si un rançongiciel chiffre des données dans l'environnement principal, ce chiffrement est souvent répliqué vers l'environnement secondaire avant même que l'attaque ne soit détectée. Par conséquent, les deux copies des données peuvent être compromises.
Les systèmes de sauvegarde traditionnels sont confrontés à un autre défi. Les pirates parviennent souvent à rester indétectés dans un environnement pendant des semaines avant de lancer une attaque. Si un pirate est présent depuis 30 jours, bon nombre des sauvegardes créées pendant cette période peuvent déjà contenir des logiciels malveillants ou d’autres modifications malveillantes. La restauration à partir de ces sauvegardes peut réintroduire la menace en même temps que les données.
Les auteurs de ransomware modernes connaissent parfaitement cette architecture. Ils ciblent spécifiquement l'infrastructure de sauvegarde : ils suppriment les clichés instantanés, chiffrent les catalogues de sauvegarde et compromettent les identifiants d'administration des sauvegardes, car ils savent que s'ils vous privent de toute possibilité de récupération, vous finirez par payer. Tout leur modèle économique repose sur le fait de laisser les entreprises sans alternative viable.
Il existe une lacune structurelle dans la pile de sécurité d'entreprise qu'aucun de ces outils ne comble. Les pare-feu inspectent le trafic au niveau du périmètre. Les solutions de détection et de réponse sur les terminaux (EDR) inspectent les processus en cours d'exécution sur les terminaux. Les solutions de gestion des informations et des événements de sécurité (SIEM) analysent les journaux et les modèles de trafic. Mais aucun d'entre eux n'examine le contenu des fichiers stockés sur votre espace de stockage, et c'est précisément là que l'attaquant fait son travail. Chaque action post-exploitation, du déploiement du ransomware à la mise en place des données en passant par le chiffrement des fichiers, laisse des traces dans la couche de données. Si aucune inspection n’est effectuée sur cette couche, la compromission persiste sans être détectée, malgré tous les mécanismes de protection dont vous disposez.
Comment Qumulo résout ce problème
Qumulo présente une architecture moderne de cyber-résilience qui s'attaque aux deux aspects du défi posé par les ransomwares : empêcher la corruption des données avant qu'elle ne se propage et préserver un environnement de restauration fiable et isolé, hors de portée des mouvements latéraux des attaquants. En combinant une protection active à un environnement de restauration isolé sur le plan architectural, Qumulo établit une nouvelle norme en matière de résilience face aux ransomwares, une norme qui part du principe que le système a été compromis et garantit la récupérabilité des données.
NeuralProtect : détection au niveau de la couche de stockage
Qumulo NeuralProtect est une solution de détection en temps réel des ransomwares et des logiciels malveillants directement intégrée à la plateforme de stockage Qumulo. Contrairement aux approches qui s’appuient sur des signatures connues ou sur l’analyse comportementale du trafic réseau, NeuralProtect utilise la technologie « Deep File Inspection » pour ouvrir et analyser chaque fichier au moment même où il est écrit sur le stockage. Son moteur de détection multimodal identifie à la fois les familles de logiciels malveillants connues et les ransomwares «zero-day» qui n’ont jamais été répertoriés. Lorsqu’il détecte une menace, il agit immédiatement en mettant fin à la session malveillante pour empêcher le chiffrement latéral des fichiers, tout en créant des instantanés défensifs afin de préserver un état connu comme sain, et en permettant une restauration rapide à partir de données vérifiées et saines. Il ne s’agit pas d’un agent supplémentaire ni d’une intégration tierce nécessitant une infrastructure distincte. Il s’agit d’une protection intégrée à la couche de stockage elle-même, là où l’attaquant cause précisément des dommages.
Qumulo Cloud Data Vault : bloquer les mouvements latéraux
Le Qumulo Cloud Data Vault est un modèle architectural validé, reposant sur les déploiements Qumulo Cloud Native, conçu pour créer un environnement de restauration isolé et immuable destiné aux données stratégiques de l'entreprise. Il ne s'agit pas d'un produit distinct, mais d'une architecture qui exploite les capacités existantes de Qumulo pour assurer la cyber-résilience.
Le coffre-fort est hébergé dans un compte cloud distinct, sans connexion permanente à l’environnement de production, ce qui signifie qu’il n’existe aucun chemin latéral permettant de passer d’un système compromis au coffre-fort. Les instantanés contenus dans le coffre-fort sont verrouillés à l’aide de clés cryptographiques ; ainsi, un instantané verrouillé ne peut être ni supprimé ni voir sa durée de validité raccourcie, même par un administrateur compromis ne disposant pas de la clé privée. La connectivité au coffre-fort n'existe que pendant les fenêtres de réplication programmées, reproduisant ainsi l'« air gap » physique d'une bande retirée d'une bibliothèque, mais assurée par une architecture native du cloud qui répond aux exigences réglementaires de la DORA, du CMORG et des recommandations de bonnes pratiques de la Banque d'Angleterre.
L'effet cumulatif
Ces deux fonctionnalités agissent de concert pour résoudre le problème fondamental que la sauvegarde seule ne peut pas résoudre, et elles répondent directement aux exigences réglementaires qui pèsent désormais sur le secteur des services financiers. NeuralProtect inspecte les données au moment de leur écriture, ce qui signifie que les données transitant vers vos couches de sauvegarde, de réplication et de stockage sécurisé sont vérifiées et validées dès leur source. Sans cette inspection, chaque couche de protection en aval risque de conserver des données compromises tout en qualifiant ce processus de « résilience ».
Si NeuralProtect détecte une attaque à un stade précoce, vos copies de sauvegarde et de reprise après sinistre existantes restent intactes et utilisables. Si une attaque sophistiquée échappe à la détection initiale et n’est découverte que plus tard, le Qumulo Cloud Data Vault fournit un point de restauration dont l’intégrité est vérifiable, datant d’avant la compromission, stocké dans un environnement auquel l’attaquant n’a jamais eu accès.
L'article 12 de la directive DORA exige que les données restaurées soient soumises à « plusieurs contrôles et rapprochements » afin de garantir « le plus haut niveau d'intégrité des données ». La fonctionnalité Deep File Inspection de NeuralProtect assure précisément cette vérification, qui est appliquée en continu et non pas uniquement au moment de la restauration.
Le guide des bonnes pratiques du CMORG relatif au stockage sécurisé des données dans le cloud précise que les données stockées doivent se trouver dans un environnement dépourvu de connectivité permanente avec l'environnement de production, et bénéficier d'une immuabilité cryptographique ainsi que de fenêtres de réplication définies. Le Qumulo Cloud Data Vault est conçu pour répondre à ces spécifications.
Le délai de quatre jours imparti par la SEC pour la divulgation ne commence pas au moment de l’attaque, mais lorsque l’entreprise détermine que l’incident est significatif, et cette détermination doit être effectuée sans retard déraisonnable. La significativité est évaluée en fonction de la question de savoir si un investisseur raisonnable le considérerait comme important pour sa prise de décision. Les organisations ne peuvent se permettre aucune ambiguïté. La détection en temps réel de NeuralProtect offre aux équipes de sécurité une visibilité immédiate leur permettant de savoir si une attaque a atteint la couche de données et si les points de restauration restent viables, réduisant ainsi la durée de cette évaluation de plusieurs semaines à quelques minutes.
Ensemble, elles offrent ce qu’exigent désormais les autorités de régulation de toutes les juridictions et ce que la sauvegarde seule ne peut pas garantir : la capacité de détecter les menaces avant la fin du chiffrement, d’isoler en temps réel les sessions compromises, de protéger les données critiques dans un environnement isolé et immuable, et de procéder à une restauration complète sans payer de rançon.
En résumé
Les ransomwares constituent un enjeu vital pour la survie des entreprises, et les organisations qui parviendront à les surmonter avec succès seront celles qui auront pris conscience que leurs outils actuels de résilience opérationnelle avaient été conçus pour une ère de menaces bien différente. La Banque d’Angleterre intègre désormais les cyberattaques dans ses prévisions de PIB. Le règlement DORA est applicable dans toute l’Union européenne. La PRA et la FCA publient des recommandations conjointes sur ce à quoi doit ressembler une cyber-reprise « efficace » pour les entreprises d’importance systémique. La SEC tient les conseils d’administration personnellement responsables de la gouvernance en matière de cybersécurité. Les assureurs se retirent du marché de la cyberassurance, les sinistres dépassant les primes, et ceux qui restent exigent la preuve de l’existence d’architectures de reprise isolées avant de souscrire des polices.
La sauvegarde n’est pas une protection contre les ransomwares.
La reprise après sinistre n’est pas une protection contre les ransomwares.
La continuité d’activité n’est pas une protection contre les ransomwares.
Ce sont tous des éléments indispensables à la résilience opérationnelle, mais ils n’ont jamais été conçus pour résister à un adversaire ciblé dont la stratégie repose entièrement sur leur mise en échec. Plus important encore, ils ne répondent plus aux exigences réglementaires. Les autorités de régulation ne se contentent pas de vous demander si vous êtes en mesure de restaurer vos données à partir d’une sauvegarde. Elles vous demandent également si votre environnement de reprise est isolé, si l’intégrité de vos données est vérifiable et si vous pouvez démontrer que votre dernière copie valide connue est réellement intacte.
Qumulo NeuralProtect et Qumulo Cloud Data Vault aident les organisations à se doter des capacités de plus en plus exigées par les autorités de régulation. La détection des menaces au moment de l'écriture, la conservation des données critiques dans un environnement de restauration isolé et la restauration à partir de copies saines et vérifiées renforcent la cyber-résilience et permettent de mettre en place une stratégie de restauration vérifiable face aux attaques par ransomware.
Prêt à découvrir comment Qumulo NeuralProtect et Cloud Data Vault fonctionnent ensemble ? Demandez une démonstration à l'adresse qumulo.com/product/neural-protect ou lire le Présentation de la solution NeuralProtect pour en savoir plus.
À propos de l'auteur
Tom Tasker est architecte principal en solutions cloud chez Qumulo, où il se consacre à la protection des données dans le cloud et à la résilience face aux ransomwares pour les services financiers et les secteurs réglementés dans les régions EMEA et APJ. Il est co-auteur de l'article publié sur le blog AWS Storage. La résilience par la conception : mettre en place une stratégie efficace de reprise après une attaque par ransomware, et donne des cours à l'université de Loughborough sur l'architecture moderne des données.