Les cyberattaques aboutissent souvent non pas parce qu'elles sont sophistiquées, mais parce que les entreprises ne disposent pas de sauvegardes fiables ou peinent à restaurer rapidement leurs données. Lorsque la restauration est lente, même les perturbations mineures peuvent s'aggraver, offrant ainsi aux pirates le temps et le levier dont ils ont besoin pour déployer des ransomwares et paralyser les activités.
Lorsque les systèmes tombent en panne, chaque minute d'indisponibilité entraîne une perturbation des opérations, une baisse du chiffre d'affaires et une perte de confiance de la part des clients. C'est pourquoi l'objectif de temps de reprise (RTO), qui fixe le délai maximal pour rétablir les systèmes après une attaque, est un élément essentiel de tout plan de reprise après sinistre.
Selon l'analyse de SPC IT, les temps d'arrêt peuvent coûter jusqu'à 330 £ par minute pour les petites entreprises et jusqu'à 12 500 £ par minute pour les grandes entreprises, ce qui montre bien pourquoi la rapidité de la reprise est tout aussi importante que la mise en place de sauvegardes.
Deux incidents informatiques historiques illustrent cette réalité : l'épidémie du ransomware WannaCry en 2017 et l'attaque par ransomware contre Colonial Pipeline en 2021. Ces deux exemples montrent que, même en présence de sauvegardes, les délais de restauration peuvent tout de même paralyser les activités.
La leçon de WannaCry
En mai 2017, l'attaque du ransomware WannaCry s'est propagée dans 150 pays. Elle exploitait la faille EternalBlue ciblant Microsoft Windows, ce qui a permis au logiciel malveillant d'infecter rapidement les systèmes non mis à jour. Le Service national de santé britannique (NHS) s'est retrouvé au cœur de la crise, avec 81 établissements du NHS touchés, 19 500 rendez-vous annulés et des ambulances détournées des services d'urgence.
Le NHS avait mis en place des procédures de sauvegarde, mais PublicTechnology, s'appuyant sur les conclusions du Bureau national d'audit, a souligné que le plan d'intervention du NHS n'avait pas été testé au niveau local. De ce fait, de nombreux établissements ne savaient pas vraiment comment réagir lorsque WannaCry a frappé. En l'absence de coordination des opérations de reprise, les hôpitaux ont été contraints de se déconnecter du réseau et ont dû se contenter de papier et de crayon pendant des semaines.
La crise du Colonial Pipeline
Quatre ans plus tard, en 2021, Colonial Pipeline, l'artère vitale de l'approvisionnement en carburant de la côte Est des États-Unis, a été victime d'une attaque par ransomware perpétrée par le groupe DarkSide, ce qui a entraîné l'arrêt de ses activités et provoqué des pénuries de carburant. Cet événement a fait passer l'accent mis sur la réponse de la simple existence de sauvegardes à la rapidité de la reprise.
Contrairement à de nombreuses victimes de ransomware, Colonial Pipeline disposait en réalité de sauvegardes opérationnelles et non chiffrées. Cependant, comme l’a rapporté Fox Business, l’entreprise a tout de même interrompu ses activités et versé une rançon de 4,4 millions de dollars afin d’accélérer la restauration à l’aide d’un outil de déchiffrement. L’analyse de Huntress a révélé par la suite que cet outil était d’une lenteur exaspérante, ce qui a finalement contraint l’entreprise à se rabattre sur ses sauvegardes. Malgré la disponibilité de sauvegardes viables, l’incident a tout de même entraîné une interruption de service de six jours.
Pourquoi le RTO doit fonctionner dans la pratique
Selon le rapport « The State of Ransomware 2025 » publié par Sophos, si la plupart des entreprises parviennent finalement à récupérer leurs données après une attaque par ransomware, les délais de récupération varient considérablement. Seules 16 % d'entre elles parviennent à tout récupérer en une seule journée, tandis que 53 % mettent jusqu'à une semaine, et d'autres encore plus longtemps.
De nombreuses entreprises investissent massivement dans leurs infrastructures de sauvegarde, mais négligent de définir ou de vérifier dans quels délais elles peuvent rétablir leurs activités. En l'absence d'un RTO clairement défini, les équipes ne se rendent souvent compte des limites de la reprise que lorsque la crise est déjà en cours.
Une politique de reprise après sinistre (RTO) clairement définie et testée aide les organisations à :
- Identifiez les systèmes les plus critiques qui doivent être restaurés en priorité.
- Adaptez l'infrastructure de sauvegarde aux délais de reprise des activités.
- Limitez au maximum les perturbations opérationnelles en cas de cyberincidents.
- Réduisez les pertes financières et préservez la confiance des clients.
Identifiez vos failles en matière de reprise après sinistre avant que les pirates ne le fassent
Ces deux attaques, survenues à plusieurs années d'intervalle, mettent en évidence la même leçon : la simple disponibilité des sauvegardes ne garantit pas la résilience. Ce qui importe, c'est la rapidité et la fiabilité avec lesquelles une organisation peut rétablir ses activités en cas de panne des systèmes.
La cyber-résilience ne se mesure pas uniquement à la capacité des données à résister à une attaque, mais aussi à la possibilité d'assurer la reprise dans un délai acceptable pour l'activité. De nombreuses organisations partent du principe que leurs délais de reprise sont suffisants, mais rares sont celles qui les ont validés dans des conditions réalistes.
Notre évaluation de l'état de préparation à la reprise d'activité peut vous aider à déterminer si vos stratégies de sauvegarde et de reprise d'activité permettent réellement de respecter vos délais de reprise d'activité (RTO). Identifier dès maintenant les lacunes dans votre état de préparation peut vous éviter des perturbations coûteuses à l'avenir.