Pendant longtemps, la réponse standard à la menace ransomware était : « Nous avons des sauvegardes. » Cette réponse ne suffit plus. Depuis plusieurs années, les groupes cybercriminels ont compris que détruire ou chiffrer les sauvegardes avant de déclencher l’attaque principale multiplie la pression sur la victime et le montant des rançons. Aujourd’hui, attaquer les sauvegardes n’est plus un effet de bord : c’est une étape délibérée du mode opératoire.
Sur 94% des victimes ayant subi une tentative de compromission de leurs sauvegardes, 57% de ces tentatives ont abouti. Pour les collectivités locales, le chiffre monte à 99% des organisations touchées. Le coût moyen de remédiation hors rançon atteint 2,73 millions de dollars. Les organisations dont les sauvegardes ont été compromises reçoivent en moyenne une demande de rançon double de celles dont les sauvegardes sont intactes.
Le Panorama de la cybermenace 2023 recense une hausse de 30% des attaques par ransomware, les collectivités territoriales représentant 24% des victimes. En 2024, l’ANSSI a traité 218 incidents cyber visant les collectivités, soit 18 par mois, dont 25 incidents par ransomware ayant engendré des effets significatifs sur leur fonctionnement.
Dans les cas les plus graves, les sauvegardes connectées au domaine Active Directory compromis étaient elles-mêmes inaccessibles ou chiffrées, privant les victimes de toute capacité de reprise rapide.
Pourquoi les sauvegardes classiques ne résistent pas
Une sauvegarde classique, qu’elle soit sur bande, sur NAS local ou dans le cloud via un agent connecté au domaine, partage un défaut fondamental : elle est accessible depuis le SI de production. Ce qui signifie que tout attaquant ayant compromis l’environnement de production peut, avec les mêmes identifiants ou les mêmes droits, atteindre les sauvegardes.
Les vecteurs d’attaque les plus courants sur les sauvegardes :
- Vol ou compromission des identifiants d’administration du logiciel de sauvegarde
- Suppression ou chiffrement des snapshots via les API cloud (possible avec un token volé)
- Désactivation des agents de sauvegarde avant le déclenchement du chiffrement
- Ciblage des bandes physiques accessibles sur le réseau
- Exploitation des droits Active Directory pour accéder aux partages de sauvegarde
Dans tous ces cas, la sauvegarde était techniquement présente. Elle était simplement joignable par l’attaquant.
Ce que DATIS change structurellement
DATIS ne sécurise pas les sauvegardes en ajoutant une couche de protection par-dessus une architecture vulnérable. Il rend l’attaque sans objet par construction.
Les données quittent le SI déjà transformées
Avant de sortir de votre environnement, chaque donnée est compressée, chiffrée, puis fragmentée. Ce sont ces fragments, et uniquement ces fragments, qui circulent vers les nœuds du réseau DATIS. Ce qui sort de chez vous n’est plus une donnée : c’est de la bouillie numérique, inerte, sans valeur et sans signification pour quiconque ne dispose pas de vos clés de déchiffrement. Un ransomware qui chiffrerait ces fragments ne chiffrerait rien d’utile.
Le stockage local est immuable par construction
L’appliance DATIS stocke vos sauvegardes localement sur un système de fichiers ZFS. L’immuabilité est native : aucune suppression, aucune modification, aucun chiffrement n’est possible depuis l’extérieur. Même un attaquant disposant de droits administrateurs sur votre domaine ne peut pas altérer ce qui est stocké dans DATIS.
Aucune connexion avec l’Active Directory compromis
DATIS n’est pas membre de votre domaine. L’appliance ne s’authentifie pas via vos comptes Active Directory. Elle n’est pas accessible via les chemins réseau habituels que les ransomwares empruntent pour se propager. Le vecteur d’attaque n’existe pas.
Les clés restent sous votre contrôle exclusif
Ni INSPEERE, ni aucun tiers, ne détient vos clés de déchiffrement. Même en cas de compromission totale de votre SI, vos données distribuées sur le réseau DATIS restent inaccessibles à l’attaquant : il n’a pas les clés, et les fragments qu’il pourrait éventuellement atteindre sont illisibles sans elles.
Le scénario d’attaque type, et ce qui se passe avec DATIS
Sans DATIS : l’attaquant entre sur le réseau, élève ses privilèges, désactive ou chiffre les agents de sauvegarde, puis déclenche le ransomware sur le SI de production. La victime découvre que ses sauvegardes sont inaccessibles ou corrompues. Elle paie, ou elle reconstruit depuis zéro.
Avec DATIS : l’attaquant entre sur le réseau, élève ses privilèges, cherche les sauvegardes. DATIS n’est pas dans son Active Directory, son contenu est immuable, et les fragments distribués sur les nœuds externes sont chiffrés avec des clés qu’il ne possède pas. Il déclenche le ransomware sur le SI de production. La victime restaure depuis DATIS.
Ce que nos clients ont retenu de leur expérience
Fontenay-sous-Bois (53 000 hab.) — Christophe Beuvière n’a pas seulement entendu parler d’une cyberattaque : il en a été le DSI victime, dans une collectivité voisine, où les attaquants avaient neutralisé les sauvegardes avant de déclencher le chiffrement. En arrivant à Fontenay, il avait découvert que 50% des bandes de sauvegarde en place étaient défaillantes. Fort de cette double expérience, il cherchait une solution dont la résilience ne dépendait pas de la bonne santé du SI de production. DATIS a été retenu pour cette raison précise.
Habitat de la Vienne (12 000 logements) — Suite à un audit ANSSI révélant une vulnérabilité sur l’Active Directory, le DSI Denis Poirier a déployé DATIS comme couche de protection indépendante du domaine. L’objectif explicite : que la compromission du domaine n’entraîne pas celle des sauvegardes.
DATIS peut-il détecter une attaque en cours ?
DATIS n’est pas un outil de détection (EDR, SOC, SIEM). Son rôle est de garantir que vos données restent disponibles et intègres quelle que soit l’issue de l’attaque sur votre SI de production. La détection et la réponse à incident sont du ressort d’autres outils, complémentaires.
Si mon SI est entièrement chiffré, comment je restaure avec DATIS ?
La restauration s’effectue depuis l’appliance DATIS locale (si elle est physiquement intacte) ou depuis les fragments distribués sur les nœuds distants. Elle ne nécessite pas que votre SI de production soit opérationnel : c’est précisément l’intérêt d’une architecture isolée. La procédure de restauration est documentée et testée avant mise en service.
Quelle est la différence entre DATIS et un air gap traditionnel ?
Un air gap traditionnel (bande physique déconnectée, coffre externe) offre une isolation complète mais une disponibilité limitée et une gestion manuelle contraignante. DATIS offre une isolation fonctionnelle forte (pas de connexion au domaine, immuabilité ZFS, chiffrement bout en bout) avec une disponibilité continue et une gestion automatisée. C’est un compromis opérationnel meilleur pour la plupart des organisations qui ne peuvent pas se permettre des procédures manuelles de gestion des bandes.
DATIS est-il suffisant comme seule mesure de cybersécurité ?
Non. DATIS sécurise vos sauvegardes et votre capacité de reprise. Il ne remplace pas un firewall, un EDR, une politique de gestion des accès ou une sensibilisation des utilisateurs. La résilience après incident est une composante de la cybersécurité, pas son substitut.
En 30 minutes, nous analysons votre architecture de sauvegarde et identifions les vecteurs d’attaque accessibles depuis votre SI de production.
L’indépendance numérique selon Inspeere
-
Sauvegarde des données
DATIS vs sauvegarde cloud : ce que les commerciaux ne vous diront pas
Choisir une solution de sauvegarde en 2025, c'est naviguer entre… Lire -
Sauvegarde des données
PRA et PCA : le socle technique sans lequel rien ne tient
Une cyberattaque ne prévient pas. Elle tombe un vendredi soir,… Lire -
Sécurité des données
Les collectivités territoriales sont en première ligne des cyberattaques
Et souvent les moins armées pour y faire face. DATIS… Lire