Cyberattaque : l’illusion de la restauration totale
Le premier réflexe après une cyberattaque ? Tout restaurer. C’est aussi la première erreur, et elle peut être fatale. Lorsque les entreprises sont confrontées à une cyberattaque, les dirigeants cherchent souvent à remettre en ligne l’ensemble de leurs systèmes le plus rapidement possible. Ce réflexe peut prolonger la crise, car la question cruciale n’est pas de savoir comment tout restaurer, mais plutôt quoi restaurer en premier, dans quel ordre, et avec quel degré de confiance.
Les données du site ransomware.live indiquent qu’en 2025, la France a enregistré 189 attaques par ransomwares réussies, contre 139 en 2024. Au cours des six premiers mois de 2026, 122 attaques ont déjà été recensées, soulignant une menace croissante pour les organisations.
Dans son Panorama de la cybermenace 2025, publié le 11 mars dernier, l’ANSSI a traité 1 366 incidents de sécurité en 2025, un chiffre qui reste élevé par rapport à 2024. Vincent Strubel, directeur général de l’ANSSI, décrit une menace devenue « systémique », marquée par l’effacement de la frontière entre cybercriminels et acteurs étatiques, ainsi que par l’apparition d’attaques aux effets physiques destructeurs.
Les attaques dites « effaceuses », ou wipers, modifient la donne. Leur objectif n’est pas de chiffrer les données pour rançonner, mais de rendre les systèmes inutilisables. Cela entraîne des risques importants : ralentissement de la reprise, réinjection des vulnérabilités et fragilisation de la confiance.
Les organisations les plus résilientes adoptent une approche inverse : elles définissent leur strict minimum vital, ou Minimum Viable Company, pour continuer à opérer même dans des conditions extrêmes. Cela implique une décision stratégique pour identifier les éléments essentiels permettant de fonctionner en mode dégradé.
Avant de relancer toute activité, il est crucial de reconstruire les infrastructures de base et de rétablir la gestion des identités. Sans un annuaire de connexion sain, aucune restauration sûre n’est possible. La priorité doit donc être de rétablir la confiance dans les accès.
Un « kit de premiers secours cyber », sécurisé et isolé, est nécessaire pour faciliter la récupération. Ce kit doit contenir les éléments essentiels pour gérer la crise, tout en restant accessible lorsque d’autres systèmes sont compromis.
Enfin, un plan de continuité éprouvé est indispensable. Depuis le 17 janvier 2025, le règlement européen DORA impose des exigences strictes aux secteurs financiers concernant les plans de reprise. La directive NIS2, dont la transposition en France est attendue à l’été 2026, élargira ces exigences à des milliers d’entités.
Le véritable risque ne réside pas dans l’échec technique des sauvegardes, mais dans l’incapacité à hiérarchiser les priorités et à maîtriser le retour à la normale.
Source : ANSSI, ransomware.live
