11 septembre 2025
Olivier OLEJNICZAK
Ransomware et Plan de Reprise Informatique : pourquoi votre sauvegarde ne suffit pas à vous protéger
Vous sauvegardez vos données chaque nuit. Vous avez même vérifié que les jobs se terminaient en vert. Pourtant, lorsqu’une attaque par ransomware frappe votre infrastructure, vous découvrez que vos 30 derniers jours de sauvegardes sont inutilisables.
Comment est-ce possible ?
C’est l’un des scénarios les plus fréquents — et les plus dévastateurs — rencontrés par les PME françaises victimes de cyberattaques. La sauvegarde est nécessaire, mais elle ne constitue pas, à elle seule, un Plan de Reprise Informatique.
Voici pourquoi.
Comment un ransomware contamine silencieusement vos sauvegardes
Un ransomware moderne ne chiffre pas vos données le jour de l’intrusion. Il s’installe discrètement, observe votre réseau, élève ses privilèges — et attend.
En moyenne, selon les analyses forensiques post-incident, le délai entre l’intrusion initiale et le déclenchement du chiffrement visible est de 10 à 21 jours.
Pendant toute cette période, vos sauvegardes tournent normalement. Elles copient fidèlement vos données — y compris les fichiers progressivement compromis, les configurations altérées et les accès dérobés.
Le jour où le ransomware se déclare, vous vous retrouvez avec plusieurs semaines d’archives qui contiennent déjà l’infection.
Résultat concret :
- si vous restaurez depuis la dernière sauvegarde, vous redémarrez un système déjà compromis
- si vous remontez plus loin pour trouver une archive saine, vous perdez plusieurs semaines de données
À retenir
La sauvegarde protège contre la perte accidentelle de données. Elle ne protège pas — seule — contre un ransomware qui a eu le temps de se propager dans votre infrastructure.
Sauvegarde quotidienne versus réplication PRI : deux dispositifs différents
La confusion entre sauvegarde et Plan de Reprise Informatique est fréquente : les deux produisent des copies de vos données. Mais leur objet, leur architecture et leur usage sont fondamentalement différents.
| Critère | Sauvegarde (CSR) | Réplication PRI |
|---|---|---|
| Objet | Restauration partielle : fichiers, applications | Reprise complète du système d’information |
| Format | Fichiers, bases de données | Image complète des serveurs (snapshot VM) |
| Cible | NAS local ou cloud S3 | Datacenter IaaS distant |
| Usage en cas de sinistre | Restauration granulaire | Activation du PRI et basculement complet |
| RTO visé | Non contractualisé | Contractualisé : 4 h à 48 h |
Un PRI ne remplace pas la sauvegarde : il la complète. Les deux dispositifs coexistent et répondent à des besoins différents.
Dans l’offre Alticap, le périmètre PRI est d’ailleurs distinct du contrat de maintenance et de sauvegarde courante.
L’immuabilité : le verrou technique contre la contamination des archives
Face au risque de contamination des sauvegardes par ransomware, la réponse technique s’appelle l’immuabilité.
L’immuabilité est une propriété de stockage qui empêche toute modification ou suppression d’une archive pendant une durée définie — même si les identifiants administrateurs sont compromis.
Les archives répliquées sur Acronis Cloud Storage bénéficient par exemple d’une protection immuable de 14 jours.
Concrètement, cela signifie que :
- un attaquant ne peut pas supprimer vos sauvegardes
- il ne peut pas les modifier
- il ne peut pas altérer les archives existantes
Même avec un accès administrateur complet.
Dans le cas d’une détection tardive du ransomware, cette immuabilité permet d’identifier une archive saine antérieure à l’intrusion et de redémarrer le système à partir de ce point.
Point de vigilance
L’immuabilité protège les archives existantes. Elle ne protège pas les nouvelles sauvegardes réalisées après l’infection si celle-ci n’est pas encore détectée.
Ce que doit contenir un PRI réellement activable après un ransomware
Un Plan de Reprise Informatique ne se limite pas à une infrastructure de stockage. Pour être activable en conditions réelles, il doit réunir quatre composantes essentielles.
1. Un périmètre documenté
La liste complète des serveurs, VMs, bases de données et applications critiques à reprendre doit être clairement identifiée et classée par criticité.
2. Des objectifs RTO et RPO définis
Le RTO (temps de reprise) et le RPO (perte de données acceptable) doivent être définis par service et inscrits dans une annexe technique contractuelle.
3. Un runbook opérationnel
Le runbook décrit la séquence précise d’activation du PRI : qui intervient, dans quel ordre, avec quels accès.
4. Des tests réguliers
Un PRI non testé est un PRI incertain. Des tests de restauration réguliers permettent de vérifier que le dispositif fonctionne réellement.
C’est sur ces quatre piliers qu’Alticap structure son offre de contrat MCO PRI.
Questions fréquentes
Peut-on récupérer ses données après un ransomware si on dispose d’un PRI ?
Dans la plupart des cas, oui. À condition que le PRI soit correctement dimensionné et que les archives incluent une période antérieure à l’infection.
L’objectif est d’identifier la dernière sauvegarde saine et de restaurer le système à partir de ce point.
Combien de temps faut-il pour redémarrer après une attaque ransomware ?
Avec un PRI correctement configuré, les services critiques peuvent redémarrer en quelques heures. Sans PRI, la reconstruction complète du système peut prendre plusieurs jours voire plusieurs semaines.
La cyberassurance remplace-t-elle un Plan de Reprise Informatique ?
Non. La cyberassurance peut couvrir une partie des coûts liés à l’incident, mais elle ne fournit pas le dispositif technique permettant de redémarrer l’infrastructure.
Votre système d’information peut-il redémarrer après un incident majeur ?
Les experts Alticap analysent votre infrastructure et vous accompagnent dans la mise en place d’un Plan de Reprise Informatique adapté à votre activité.
→ Demander un audit PRI gratuit :
https://www.alticap.com/je-souhaite-etre-contacte