Le guide technique de référence sur la protection contre les ransomwares : mettre à profit Veeam pour une défense résiliente

Mis à jour en août 2025

L’essentiel à retenir :

• Les ransomware modernes sont contrôlés par des opérateurs humains et restent furtifs. Les attaques actuelles s’appuient sur des outils légitimes et des tactiques persistantes, rendant la détection et la restauration proactives essentielles.
• Il est essentiel de cartographier les défenses sur le cadre MITRE ATT&CK. Vous pouvez renforcer cette stratégie grâce à la détection d’indicateurs de compromission (IOC) et de comportements suspects des outils au sein des environnements de sauvegarde.
• Les sauvegardes inaltérables sont votre dernière ligne de défense. L’utilisation de cibles renforcées et de l’inaltérabilité basée sur le cloud aide à empêcher le ransomware de modifier ou de supprimer les données de sauvegarde.
• L’assurance de la restauration commence par les tests. Des outils tels que l’analyse des logiciels malveillants, la détection des menaces et les environnements de salle blanche isolés jouent un rôle essentiel dans la validation des sauvegardes avant leur restauration en production.
• La résilience nécessite des couches, pas seulement des outils. La prévention, la détection, la réponse et la restauration doivent fonctionner ensemble à travers l’infrastructure, les personnes et les processus.

---

Les attaques par ransomware sont aujourd’hui l’une des catastrophes les plus courantes et les plus coûteuses que les organisations craignent et affrontent. Selon le Rapport sur les tendances des ransomwares Veeam de 2025, 69 % des entreprises ont subi au moins une attaque par ransomware au cours de l’année écoulée, et dans la plupart des cas, les attaquants ont ciblé directement les cibles de sauvegarde pour saboter la restauration. Cela fait de la question « Comment pouvons-nous prévenir les attaques de ransomware ? » l’un des défis les plus pressants pour les CISOs, CTOs et professionnels de l’informatique.

Bien que les données montrent qu’un incident de ransomware ou de cybersécurité est le type de sinistre auquel une organisation informatique est le plus susceptible d’être confrontée, il existe des mesures concrètes que les organisations peuvent prendre pour prévenir et remédier aux incidents de ransomware. La définition de la prévention des ransomwares consiste en la formation des employés dans l’ensemble de l’organisation, la préparation de plans à mettre en œuvre en cas d’attaque, et la mise en place de contrôles et de techniques pour renforcer la résilience des données.

En quoi consiste la prévention des ransomwares ?

La prévention des ransomware désigne un ensemble de pratiques, d’outils et de processus conçus pour réduire la probabilité d’une attaque et limiter sa zone d’impact. C’est un moyen de préparer une restauration rapide et sécurisée lorsqu’elle se produit. La prévention des ransomwares comprend essentiellement les éléments suivants :

• Sensibiliser le personnel à la reconnaissance des tactiques d’ingénierie sociale telles que le phishing
• Renforcer les systèmes en appliquant le principe du moindre privilège, l’authentification multifacteur (MFA) et des configurations sécurisées
• Protéger les données avec des sauvegardes chiffrées inaltérables
• Et orchestrer un plan d’intervention qui part du principe qu’une défaillance se produira et que la restauration doit suivre

La meilleure défense contre les menaces de ransomware consiste à adopter une posture offensive et proactive.

Pourquoi les attaques par ransomware représentent le risque de désastre le plus probable

En bref, les ransomwares sont désormais une industrie à plusieurs millions de dollars. Alors que les catastrophes naturelles, les pannes matérielles ou la suppression accidentelle restent des préoccupations, le ransomware représente désormais la majorité des perturbations réelles. Cela s’explique par le fait que :

• C’est une activité évolutive et très rentable pour les attaquants, notamment grâce au modèle désormais répandu du Ransomware as a Service
• Elle cible les données, qui constituent l’actif essentiel des organisations modernes et de leurs environnements numériques complexes.
• Elle contourne souvent les défenses périmétriques traditionnelles en utilisant l’hameçonnage, le vol d’informations d’identification ou la compromission de la chaîne d’approvisionnement.
• Elle menace non seulement les temps d’arrêt, mais aussi l’exfiltration et l’extorsion de données, multipliant son impact non seulement sur les organisations, mais aussi sur les clients et les partenaires, tout en mettant en danger les opérations commerciales et la réputation de l’entreprise.

Comprendre le ransomware : aspects techniques & vecteurs d’attaque

Le cadre MITRE ATT&CK est le standard de référence pour comprendre les comportements des adversaires, en particulier dans le contexte des ransomware. Toutes les menaces ne se comportent pas de la même façon, et les acteurs du ransomware opèrent aujourd’hui plus comme des adversaires au niveau d’un État-nation que comme des pirates isolés. Les experts disent souvent que les acteurs malveillants « ne s’introduisent pas — ils se connectent ».

Les ransomwares modernes impliquent généralement une chaîne d’attaque en plusieurs étapes, menée par des humains, combinant le vol d’informations d’identification, la reconnaissance, l’élévation de privilèges, les mouvements latéraux, la préparation des données, le chiffrement et l’exfiltration. Dans de nombreux cas, l’attaquant a déjà passé plusieurs jours ou semaines (et, dans certains cas, bien plus longtemps en attendant le meilleur acheteur ou le moment opportun) à l’intérieur de l’environnement avant de lancer la charge utile réelle.

Chacune des techniques et sous-techniques observées lors de ces attaques correspond à des TTP (tactiques, techniques et procédures) communs décrits dans la matrice MITRE ATT&CK. Citons notamment :

• Accès initial : Hameçonnage, exploitation d’applications accessibles au public ou vol d’informations d’identification
• Exécution : PowerShell, interface de ligne de commande (CLI), tâches planifiées
• Persistance : Clés d’exécution du Registre, éléments de démarrage et installations de service
• Élévation de privilèges : Outils de vidage des informations d’identification tels que Mimikatz ou LSASS scraping
• Évasion des défenses : Scripts obscurcis, binaires « living-off-the-land » (LOLBins), altération des outils de sécurité
• Mouvement latéral : Bureau à distance (RDP), partages Windows Admin, PsExec
• Impact : Chiffrement, destruction de clichés instantanés ou corruption de fichiers

Il est important de comprendre que les auteurs de menace ne déploient pas toujours des logiciels malveillants personnalisés. En fait, la plupart des campagnes impliquent des outils mixtes — un mélange de logiciels de niveau entreprise légitimes (comme RDP ou PsExec) et de boîtes à outils open source ou de piratage réutilisées (comme LaZagne ou Cobalt Strike). Cela rend la détection et l’attribution plus difficiles, en particulier pour les organisations qui s’appuient uniquement sur des défenses basées sur des signatures.

Cartographier les défenses à l’aide de MITRE ATT&CK

Le cadre MITRE ATT&CK offre une taxonomie complète du comportement de l’adversaire. Mais sa véritable valeur se révèle lorsque les organisations s’en servent pour prendre des décisions de défense en profondeur.

Plutôt que de se concentrer sur des indicateurs individuels (tels que les hachages de fichiers ou les adresses IP), ATT&CK cartographie des chaînes d’attaque complètes, ce qui permet aux équipes de sécurité de :

• Prévoir l’évolution des menaces
• Corréler la logique de détection entre les systèmes
• Mettre en place des défenses multicouches qui entravent les attaquants à différents points.

Pour les ransomwares, c’est particulièrement critique, car les attaques reposent rarement sur un seul vecteur. Elles enchaînent généralement plusieurs TTP (tactiques, techniques, procédures) provenant de différentes étapes de la matrice ATT&CK.

Veeam s’inscrit dans cette approche en permettant la détection d’indicateurs de compromission (IOCs) au sein des environnements de sauvegarde. C’est un avantage unique pour les organisations axées sur la dernière ligne de défense et la garantie de la restauration.

Alignement Veeam + MITRE ATT&CK

Bien que Veeam ne soit pas un outil de détection des menaces au sens traditionnel, il étend la couverture de détection et de réponse jusqu’à la couche de sauvegarde, où le ransomware reste souvent indétecté. Les alignements clés incluent :

• Des IOC de sauvegarde correspondant à des outils connus d’exfiltration ou de chiffrement (RClone, WinRAR, etc.)
• Des analyses YARA pour identifier des schémas de logiciels malveillants au sein des points de restauration
• Une analyse de l’entropie des fichiers afin de repérer un éventuel chiffrement au repos
• Une intégration avec des plateformes SIEM (Splunk, Sentinel, etc.) pour signaler les anomalies dans les tâches de sauvegarde

Veeam apporte une visibilité unique aux étapes souvent négligées par les terminaux et les outils réseau. Cela rend la cartographie ATT&CK encore plus puissante lorsqu’elle est superposée à l’ensemble de votre infrastructure.

Qu’est-ce que le ransomware moderne ?

Il est juste de dire que les ransomwares actuels ne sont plus les CryptoLocker ou WannaCry du passé. Nous sommes désormais confrontés au ransomware moderne. Il s’agit d’une campagne complexe en plusieurs étapes menée par de vraies personnes, utilisant des outils légitimes, des informations d’identification volées et des tactiques avancées pour infiltrer et dévaster discrètement une organisation.

Les ransomware modernes combinent les TTP issus de cadres tels que MITRE ATT&CK, avec l’intentionnalité et la patience d’un adversaire humain. Ces attaques commencent souvent par un accès initial via hameçonnage ou compromission VPN, suivi de semaines de mouvements latéraux furtifs, d’élévation de privilèges et d’exfiltration de données, bien avant que tout chiffrement n’ait lieu.

De nombreuses organisations fondent encore leur stratégie de sécurité sur des menaces traditionnelles, qui ne chiffrèrent qu’un nombre limité de machines et pouvaient être résolues par une simple réimage. Ce confort est dangereux. Des souches modernes comme LockBit, Akira et BlackCat ciblent les sauvegardes, Active Directory et les informations d’identification du cloud. Elles sont souvent gérées par des groupes affiliés au moyen de solutions Ransomware-as-a-Service (RaaS), avec tableaux de bord, playbooks et support.

La meilleure approche pour se défendre contre ces attaques consiste à partir du principe que l’attaquant :

• Connaît parfaitement votre infrastructure,
• Dispose d’un temps et d’une persistance illimités,
• Et se trouve déjà dans votre environnement.

C’est pourquoi le red teaming est devenu la pierre angulaire de la préparation anti-ransomware. Au cours de ces exercices, les équipes IT conçoivent un système en gardant la résilience à l’esprit, puis simulent un attaquant qui tenterait de le pirater en utilisant exactement les mêmes TTP que déploient les acteurs de ransomware modernes. Il ne s’agit pas seulement d’un exercice offensif ; il s’agit d’un test de votre posture de restauration, de votre visibilité et de la coordination de votre réponse.

Aujourd’hui, les attaquants disposent de ce qui suit :

• Puissants outils à double usage comme Cobalt Strike, AdFind et Mimikatz
• Charges utiles et techniques d’évasion améliorées par l’IA
• Accès privilégié par vol d’informations d’identification ou fatigue liée à l’authentification multifacteur
• Tactiques de double extorsion, menaçant de publier les données même après paiement

En résumé, les ransomwares modernes n’agissent pas comme des logiciels malveillants. Ils se comportent comme des adversaires.

Vecteurs d’attaque courants et chaînes d’exécution

Les attaques par ransomware suivent une séquence d’étapes bien structurée, connue sous le nom de chaîne d’exécution ou kill chain. Ces chaînes débutent le plus souvent par un accès furtif et une phase de reconnaissance, et aboutissent au chiffrement, à l’exfiltration ou à la destruction des données. Bien que les outils et méthodes varient d’un outil à l’autre, la plupart des incidents de ransomware peuvent être attribués à trois faiblesses fondamentales :

Hameçonnage, logiciels non corrigés et accès à distance non sécurisé

Voici quelques-unes des techniques d’attaque les plus couramment utilisées :

• Découverte (MITRE ID# T1087, T1018) : cartographie des utilisateurs, des domaines et des systèmes
• Mouvement latéral (T1021) : utilisation de RDP, SMB ou PsExec pour se déplacer sur le réseau
• Accès aux informations d’identification (T1003): Extraction de mots de passe via Mimikatz ou accès à LSASS
• Évasion des défenses (T1562) : Altération des sauvegardes, des outils EDR et des clichés instantanés
• Exfiltration (T1041): Utilisation d’outils tels que RClone ou WinSCP pour exfiltrer des données avant le chiffrement

Un bon exemple est Akira ransomware, une menace moderne pilotée par l’homme, connue pour ses outils sophistiqués et sa chaîne de comportement à plusieurs étapes. Au cours d’attaques, les opérateurs d’Akira ont été observés en train d’utiliser :

AdFind – outil d’énumération Active Directory utilisé pour la reconnaissance

AnyDesk / SoftPerfect – Outils d’accès à distance détournés pour la persistance et le contrôle

LaZagne / Mimikatz – Extraction d’informations d’identification depuis les navigateurs, la mémoire et les trousseaux

PowerShell / PCHunter64 – Exécution de scripts et escalade de privilèges

Ngrok / WinSCP – Tunnel de commande et de contrôle et exfiltration de données

RClone / WinRAR – Chiffrement ou archivage des données volées avant l’exfiltration

Task Scheduler / PsExec – pour l’exécution automatisée ou le déplacement latéral

Bon nombre d’entre eux sont des outils administratifs légitimes, ce qui les rend difficiles à détecter à l’aide des contrôles de sécurité traditionnels. Il s’agit de un enjeu majeur de la protection ransomware : les TTP brouillent la frontière entre activité normale de niveau entreprise et comportement malveillant.

Exploiter le cadre MITRE ATT&CK pour la protection contre le ransomware

L’une des façons les plus pratiques de renforcer la protection contre les ransomwares consiste à aligner vos stratégies de détection, de prévention et de restauration sur le cadre MITRE ATT&CK. Ce cadre répertorie les tactiques, techniques et procédures (TTP) utilisées par des acteurs malveillants du monde réel, y compris ceux à l’origine des ransomware modernes.

En reliant les comportements observés ou potentiels des attaquants à ATT&CK, les équipes de sécurité peuvent :

• Déterminer où les défenses existantes sont fortes ou faibles
• Développer des détections comportementales basées sur des schémas courants de ransomware
• Former les analystes SOC et les équipes red team en utilisant de véritables TTP

Détection des outils non autorisés et des comportements inattendus

Un principe fondamental de la défense contre les ransomware est la visibilité sur les outils utilisés. En d’autres termes :

1. Savoir quels outils sont standards et approuvés dans votre environnement informatique
2. Signaler l’introduction ou l’utilisation d’outils non autorisés ou suspects

Par exemple, un attaquant peut introduire RClone, WinSCP ou Cobalt Strike — des outils couramment utilisés dans les campagnes de ransomware mais rarement présents dans les environnements logiciels standards de niveau entreprise. La visibilité de cet écart par rapport à la norme peut faire la différence entre une détection précoce et une réponse tardive.

C’est là que la détection des indicateurs de compromission (IOC) de Veeam entre en jeu. Pendant les opérations de sauvegarde, Veeam peut détecter les outils et comportements de ransomware connus en comparant l’activité à une liste mise à jour d’IOC. Si des binaires malveillants ou des comportements malveillants sont détectés, tels que des outils utilisés pour la reconnaissance, le vol d’informations d’identification ou l’exfiltration, les administrateurs peuvent être alertés en quasi temps réel, et des options de restauration telles que la restauration sécurisée peuvent être déclenchées.

Méthodes pratiques pour appliquer MITRE ATT&CK dans la préparation à la lutte contre le ransomware

Établir une base de référence pour votre environnement :	⦁ Utilisez ATT&CK pour identifier les TTP attendus dans votre environnement par rapport aux TTP suspects. Comportement inattendu des outils = possibilité d’alerte de haute précision. ⦁ Utilisez ATT&CK Navigator : visualisez les techniques que vous couvrez avec les contrôles existants et celles qui ne sont pas surveillées.
Privilégier les TTP concernant les ransomware tels que :	⦁ T1021 (Services à distance) ⦁ T1047 (Exécution WMI) ⦁ T1486 (Chiffrement des données pour impact) ⦁ T1562 (Désactivation des outils de sécurité)
Associer les alertes IOC de Veeam aux techniques MITRE :	Lorsque Veeam signale une activité suspecte, reportez-vous au TTP correspondant (par exemple, RClone = T1048.002 : Exfiltration via un protocole alternatif).
Simuler des TTP lors d’un test de restauration :	Lors des exercices de préparation aux ransomwares ou des restaurations en salle blanche, intégrez les TTP des attaquants dans vos scénarios pour valider la visibilité et la détection.

Conseils pour la protection contre les ransomware

Il existe plusieurs conseils de protection contre les ransomwares qui se sont avérés efficaces sur le marché. En tête de liste figure la nécessité de disposer d’une ou plusieurs copies immuables des données de sauvegarde. Ces sauvegardes doivent également être chiffrées, et la clé de chiffrement doit être protégée au niveau le plus élevé. Idéalement, elle doit être stockée séparément et soumise à des contrôles d’accès multifacteur.

Un autre élément essentiel est la mise en place d’un plan de réponse aux incidents (IR) bien défini. Cela signifie savoir :

• Qui est responsable de la réponse
• Qui est le sponsor exécutif
• Quelles parties prenantes internes et externes doivent être informées
• Et à quoi ressemble la stratégie de communication. Cela inclut des étapes légales, de conformité et même de relations publiques si les données sont exfiltrées.

L’une des stratégies de protection les plus négligées consiste à raisonner à rebours — à remonter les chemins d’attaque habituels. Coveware by Veeam publie régulièrement des analyses sur les causes premières des incidents de ransomware, et les données sont claires.

Les trois principaux vecteurs d’accès initiaux sont les suivants :

• Compromission de l’accès à distance
• Attaques par phishing
• Vulnérabilités logicielles non corrigées

Chacun de ces vecteurs représente un point d’entrée peu coûteux et à fort impact pour les attaquants. Cela signifie que les conseils les plus pratiques et proactifs en matière de protection contre les ransomwares peuvent se résumer ainsi :

• Sécuriser les systèmes d’accès à distance : Désactiver les services inutilisés tels que RDP, utiliser des VPN avec MFA et surveillez les anomalies de connexion
• Former les employés à repérer les tentatives d’hameçonnage : Effectuer des simulations et renforcer les protocoles de signalement
• Corriger et mettre à jour régulièrement les systèmes logiciels : Prioriser les vulnérabilités critiques, automatiser lorsque c’est possible et vérifier l’efficacité du déploiement des correctifs

La prévention contre le ransomware ne repose pas sur une seule mesure de contrôle. Il s’agit de répartir les contrôles à travers vos collaborateurs, vos processus et vos plateformes. Les sauvegardes inaltérables offrent une garantie de restauration, mais la véritable résilience réside dans le renforcement de la sécurité des accès avant que les attaquants ne pénètrent dans le système.

Architecture de la résilience : stratégies de prévention, de protection et de défense

L’objectif final de nombreuses entreprises est de mener des opérations informatiques à la fois protégées contre les ransomwares et prêtes à y répondre. Les recommandations fondamentales restent simples mais efficaces :

• Former les employés à reconnaître le hameçonnage
• Sécuriser toutes les formes d’accès à distance
• Maintenir les systèmes d’exploitation, les logiciels et les micrologiciels ayant reçu les correctifs

Bien que de nombreuses organisations ne puissent pas mettre en œuvre tous les contrôles en même temps, l’essentiel est de commencer quelque part, et l’hameçonnage constitue une excellente première étape. Chaque employé est une cible potentielle. Le phishing reste l’un des principaux vecteurs de compromission initiale.

Pourquoi la stratégie de sauvegarde est importante

Parmi tous les contrôles techniques, les sauvegardes inaltérables jouent le rôle le plus critique dans la résilience aux ransomwares. C’est pourquoi la norme la plus largement acceptée en matière d’architecture de sauvegarde moderne est :

La règle de sauvegarde 3-2-1-1-0 qui préconise :

• 3 copies de vos données
• 2 types de support différents
• 1 copie hors site
• 1 copie inaltérable, hors ligne ou entièrement isolée
• 0 mauvaise surprise lors de la restauration, grâce à des vérifications régulières et à une analyse proactive des menaces

Cette méthode ne dépend d’aucun fournisseur ou matériel spécifique, ce qui la rend polyvalente et réalisable dans tous les environnements d’entreprise ou de PME. Et de plus en plus, les entreprises ne se contentent pas d’une copie inaltérable. Elles déploient deux, voire trois couches inaltérables pour une assurance maximale.

L’approche Veeam sur le Zero Trust et l’architecture de sauvegarde

Ce qui rend Veeam particulièrement convaincant ici, c’est la façon dont il applique les principes Zero Trust à la conception des sauvegardes. Dans l’architecture de Veeam :

• Le plan de données (où se trouvent les données de sauvegarde) est séparé du plan de contrôle (dans lequel les tâches de sauvegarde sont gérées)
• Il n’existe aucune connexion persistante entre Veeam et les cibles de stockage inaltérable, qu’il s’agisse de cibles Linux renforcées sur site, de stockage objet ou de services cloud.
• Cela réduit le risque qu’un serveur de sauvegarde compromis soit utilisé pour détruire les données qu’il gère.

Si votre organisation ne dispose pas d’au moins une sauvegarde inaltérable, cela constitue une faille critique dans la stratégie de protection des données, qui doit être corrigée sans délai.

Veeam rend l’inaltérabilité largement accessible grâce à : cibles renforcées locales (basées sur Linux, contrôle local) ; Veeam Data Cloud Vault (stockage inaltérable à prix fixe en tant que service) ; stockage objet avec politiques d’inaltérabilité ; offres cloud et fournisseurs de services via Veeam Cloud Connect.

Avec plus de cinq cent mille clients, Veeam n’a enregistré aucun ticket de support technique dans lequel une organisation a été incapable de restaurer des données lorsque les sauvegardes étaient sur une cible immuable, telle que le cloud, et que le client disposait de la clé de chiffrement.

C’est extrêmement puissant, mais c’est aussi un appel à l’action important concernant l’un des principes de conception les plus négligés dans le domaine.

Dernier point à prendre en compte : sécuriser vos secrets

Dernier élément, souvent négligé, de l’architecture de sauvegarde : la gestion sécurisée des secrets. Tout comme les organisations protègent les mots de passe à privilèges dans des coffres-forts de sauvegarde ou des outils de gestion des secrets, elles devraient également protéger :

• Clés de chiffrement de la sauvegarde
• Clés publiques et privées pour le stockage objet
• Informations d’identification pour les cibles de sauvegarde cloud
• Accès aux portails de gestion et de licences Veeam

L’ensemble de ces décisions architecturales forme une stratégie résiliente, vérifiable et sécurisée. Cela vous permet de restaurer plus rapidement lorsque vous êtes victime d’une attaque de ransomware, et garantit que votre organisation n’aura jamais à envisager de payer une rançon comme solution de dernier recours.

Détection et supervision proactives des anomalies dues aux ransomwares

Les moyens de détecter proactivement un ransomware ne manquent pas, mais c’est le travail réalisé qui compte le plus. Les anomalies peuvent être subtiles ou évidentes : quelques modifications de fichiers inattendues peuvent paraître anodines. Mais cela peut aussi être le début d’une attaque en préparation par un acteur malveillant. Des milliers de fichiers supprimés ou chiffrés ? Là, l’impact est déjà réel.

Ce qui importe, c’est de corréler ces événements avec votre pile de sécurité. La détection n’est efficace que lorsqu’elle est reliée à la sauvegarde, aux terminaux, au réseau et au SIEM.

Domaines prioritaires pour la détection d’anomalies liées aux ransomwares

• Détection des ransomwares basée sur l’IA :
  Analyse les blocs de données de sauvegarde pour détecter une forte entropie (aléatoire), des liens Onion, des notes de rançon et des schémas de chiffrement.

• Détection des indicateurs de compromission (IOC)
  Identifie les outils d’attaque connus (par ex. RClone, Cobalt Strike) et les comportements lors des tâches de sauvegarde, générant une alerte en cas de détection.

• Analyse de l’activité du système de fichiers
  Les analyses basées sur les signatures détectent les extensions de fichiers suspectes et les motifs malveillants stockés dans les jeux de données de sauvegarde.

• Observabilité et analyse par IA (Veeam ONE)
  détecte les comportements inhabituels des VM, les activités de « brute force » sur ESXi ou vCenter, et les anomalies SSH, avant même l’exécution de la sauvegarde.

Données au repos : une puissante couche de détection

L’un des vecteurs de détection les plus souvent négligés est votre cible de sauvegarde. Parce que les sauvegardes ne sont pas des systèmes actifs, elles constituent une couche de détection haute fidélité et à faible risque.

Voici comment Veeam exploite cette couche pour une surveillance proactive des ransomwares :

• Analyse Threat Hunter : S’exécute automatiquement après la fin de la sauvegarde pour analyser les points de restauration à la recherche de menaces.
• Analyse des logiciels malveillants basée sur les signatures : Intégrée à Secure Restore, elle utilise des moteurs antivirus secondaires pour analyser les données sauvegardées avant leur restauration.
• Restauration orchestrée & tests en salle blanche : Veeam Recovery Orchestrator permet d’effectuer des tests en salle blanche entièrement isolés selon les règles YARA et avec des analyses antivirus. Vous pouvez valider la restauration avant de replacer les workloads en production.

La détection proactive consiste à repérer les signes avant-coureurs et à ne pas simplement se fier aux alertes une fois les dégâts causés. Grâce à la supervision multicouche de Veeam, les organisations peuvent détecter, valider et isoler les ransomwares plus rapidement — avant même que la restauration ne devienne nécessaire.

Mise en place d’une infrastructure de sauvegarde sécurisée : cible Veeam renforcée et bien plus encore

Le ransomware est l’une des principales raisons pour lesquelles il n’est plus facultatif de mettre en place une infrastructure de sauvegarde sécurisée et résiliente. Les acteurs malveillants ciblent non seulement les données de production, mais aussi les sauvegardes elles-mêmes. Cela fait de votre environnement de sauvegarde de données un actif de sécurité primordial qui doit être renforcé en conséquence.

L’élément essentiel d’une architecture résistante aux ransomwares est une cible de sauvegarde inaltérable. Ce type de sauvegarde ne peut pas être modifié ou supprimé, même par un administrateur.

Cible renforcée Veeam

Le Veeam Hardened Repository a été conçu spécifiquement pour les déploiements locaux nécessitant une forte inaltérabilité, sans coût supplémentaire ni dépendance vis-à-vis du fournisseur. Ce qu’il fait :

• Prend en charge nativement l’inaltérabilité grâce au mode Linux renforcé
• Fonctionne sur pratiquement n’importe quel matériel
• Sans frais de licence ou de frais de stockage supplémentaires
• Protège les sauvegardes contre toute modification ou suppression pendant la période de rétention

Cela en fait une solution idéale pour les environnements de taille moyenne et de niveau entreprise qui souhaitent renforcer leur résilience face aux ransomwares sans avoir à modifier en profondeur leur infrastructure.

Au-delà du local : Les options d’inaltérabilité cloud de Veeam

La prise en charge des sauvegardes inaltérables par Veeam s’étend bien au-delà des environnements sur site. Elle comprend également :

• Veeam Cloud Connect avec protection contre les menaces internes. Elle permet aux fournisseurs de services de stocker des copies de sauvegarde des clients ineffaçables, même si le compte principal du client est compromis.
• Stockage objet inaltérable proposé par les hyperscalers (par exemple, verrouillage d’objets AWS S3, stockage Blob inaltérable Azure)
• Plus de 60 solutions de stockage compatibles Veeam proposées par des fournisseurs tiers, couvrant les environnements sur site, dans le cloud public et dans les clouds de stockage.
• Veeam Data Cloud Vault. Il s’agit d’un stockage de sauvegarde en tant que service à prix fixe, toujours immuable et toujours chiffré, directement intégré à la Veeam Data Platform

Ne négligez pas les bandes

Le stockage sur bande a encore un rôle essentiel à jouer, en particulier quand les paramètres WORM (écriture unique, lectures multiples) sont activés :

• Il est à la fois déconnecté, entièrement isolé et inaltérable.
• Faibles coûts d’acquisition et grande portabilité
• Fournit une véritable isolation, idéale pour protéger les copies de sauvegarde à long terme et conformes à la réglementation.

Même les entreprises qui abandonnent les bandes traditionnelles pour une rétention à long terme réutilisent les bandes pour des copies de sauvegarde à court terme entièrement isolées. Les stratégies incluent :

• Éjection partielle des bandes à partir des bibliothèques de bandes (par exemple, éjection de 2 mm des bandes)
• Rotation des bandes à l’intérieur et à l’extérieur des bibliothèques sécurisées
• Utilisation de la bande comme dernier niveau de « coffre-fort » dans une architecture de sauvegarde multicouche

Des sauvegardes inaltérables sur disque avec la cible renforcée de Veeam jusqu’à une cible cloud inaltérable pour tous les budgets et tous les cas d’utilisation, Veeam propose des options de supports ultra-résilients pour tout le monde.

Réponse aux incidents de ransomware & restauration orchestrée

Tous ces conseils sont utiles, mais que faire quand un incident survient réellement ? Idéalement, un plan est activé. Il n’existe pas de « désastre type », donc faut-il un plan A, un plan B et un plan C ? Tout à fait. Et pour compliquer les choses, les incidents surviennent souvent lorsque l’expert en protection des données est absent du bureau. Il faut donc prévoir suffisamment de formations croisées et des runbooks documentés.

Parfois, les conseils d’experts sont essentiels. Les services de réponse aux incidents peuvent représenter le chaînon manquant, et avec Coveware by Veeam, cela peut faire la différence entre gérer correctement la réponse à un incident et perdre du temps ou des informations précieuses.

Autre vérité indéniable : ce que vous faites maintenant détermine ce qui se passera plus tard. C’est maintenant qu’il faut agir. Contactez la Veeam Team et nous vous aiderons à atteindre l’état souhaité.

Playbook rapide (à utiliser ou à adapter) :

1. Activer le plan de réponse aux incidents et la structure de commandement ; établir un canal de communication hors bande.
2. Contenir et préserver : Isoler les systèmes affectés, stopper la propagation, préserver les journaux/artefacts (ne pas effacer).
3. Faire appel à des experts : Coveware by Veeam IR, équipes juridiques/conformité et de communication, selon les besoins.
4. Valider les sauvegardes : Identifier la dernière sauvegarde valide, confirmez l’inaltérabilité, utilisez Secure Restauration (AV/YARA) avant la restauration.
5. Orchestrer la restauration en salle blanche : utiliser Veeam Recovery Orchestrator pour tester les dépendances applicatives et préparer le retour en production.
6. Communiquer et se conformer : Informer les intervenants internes/externes, et les régulateurs le cas échéant, puis effectuer un examen post-incident et mettre à jour les contrôles.

Principaux éléments de préparation : runbooks versionnés (avec copies hors ligne), rotation d’astreinte, comptes d’urgence à privilèges minimaux et exercices réguliers sur table/salle blanche liés aux objectifs RTO/RPO.

Pourquoi Veeam : votre partenaire stratégique pour la prévention et la résilience anti-ransomware de bout en bout

À quand remonte votre dernier contact avec Veeam ? Ce qu’il faut retenir lorsqu’il s’agit de choisir Veeam comme partenaire stratégique pour une protection et une résilience anti-ransomware de bout en bout. C’était le cœur de l’intervention récemment présentée lors du Security Field Day 134, où Veeam a mis en avant ses fonctionnalités de détection du ransomware, ses innovations en matière de sécurité, ses partenariats au sein de l’écosystème de la sécurité, un aperçu de Coveware by Veeam, ainsi qu’une présentation des fonctionnalités à venir de Veeam.

Aujourd’hui, les entreprises ont besoin de plus qu’une simple sauvegarde. Elles ont besoin d’un allié de confiance doté de la vision, de l’innovation et de l’expertise nécessaires pour protéger leurs actifs numériques les plus précieux. Veeam s’impose comme votre partenaire stratégique pour la prévention et la résilience contre les ransomwares de bout en bout. Nous offrons une protection avancée, une restauration rapide et une détection proactive des menaces sur l’ensemble des workloads et des environnements. Avec Veeam, vous bénéficiez de fonctionnalités de pointe en matière de sécurité des données et de cyber-restauration, ainsi que de la confiance nécessaire pour relever les défis à venir, sachant que la continuité d’activité, votre expansion et votre réputation sont protégées à chaque instant.

---

Foire aux questions

1. Quelle est la manière la plus efficace de protéger les sauvegardes contre le ransomware ?
   La défense la plus efficace consiste à maintenir au minimum une sauvegarde inaltérable qui ne peut être ni modifiée ni supprimée, même par un administrateur. Cela peut être réalisé en utilisant des cibles de stockage renforcées, un stockage objet dans le cloud avec des paramètres d’inaltérabilité, ou des supports entièrement isolés.
2. Quelles techniques d’attaque les acteurs modernes du ransomware utilisent-ils ?
   Les acteurs modernes du ransomware utilisent une chaîne d’attaque en plusieurs étapes impliquant le phishing, le vol d’informations d’identification, le déplacement latéral, l’altération des sauvegardes et l’exfiltration de données. De nombreux acteurs utilisent des outils légitimes tels que PsExec, RClone et Mimikatz, rendant leur détection plus difficile.
3. En quoi le cadre MITRE ATT&CK contribue-t-il à la prévention des ransomwares ?
   Le cadre MITRE ATT&CK aide les entreprises à comprendre et à cartographier les comportements des adversaires à chaque étape de l’attaque. En alignant les stratégies de détection et de réponse aux tactiques, techniques et procédures (TTP) courantes, les équipes de sécurité peuvent identifier les lacunes, renforcer les défenses et simuler des scénarios d’attaque réels.
4. Les ransomwares peuvent-ils infecter les données de sauvegarde ?
   Oui, si les sauvegardes ne sont pas correctement sécurisées. Les attaquants ciblent souvent les sauvegardes pour saboter la restauration. C’est pourquoi le stockage inaltérable, les sauvegardes chiffrées et l’isolation des cibles de sauvegarde (Air-gap) sont essentiels.
5. Que doit inclure un plan de réponse aux incidents pour le ransomware ?
   Un plan efficace devrait inclure :
   ⦁ Une structure de commandement définie
   ⦁ Des canaux de communication hors bande
   ⦁ Des outils de validation des sauvegardes et de restauration en environnement sécurisé
   ⦁ Des communications avec les parties prenantes et concernant la conformité
   ⦁ Des exercices de simulation réguliers
6. Qu’est-ce que la règle de sauvegarde 3-2-1-1-0 ?
   C’est un standard d’architecture de sauvegarde résiliente :
   ⦁ 3 copies de vos données
   ⦁ 2 types de supports différents
   ⦁ 1 copie hors site
   ⦁ 1 copie inaltérable ou entièrement isolée
   ⦁ 0 erreur lors de la restauration (sauvegardes vérifiées/testées)
7. Qu’est-ce que les ransomwares modernes et en quoi diffèrent-ils des menaces traditionnelles ?
   Les ransomwares modernes sont pilotés par des humains, furtifs et utilisent des outils légitimes. Contrairement aux anciennes souches, il ne se contente pas de chiffrer les fichiers. Il vole des données, désactive les sauvegardes et extorque souvent de l’argent par le biais de tactiques de double extorsion.