Microdiag
Microdiag
Microdiag
Fonctionnalités Pour qui Tarifs Outils Blog FAQ À propos
Connexion Essai gratuit
Sécurité

Sauvegardes immuables Object Lock S3 : la dernière ligne de défense contre le ransomware

Même un attaquant avec vos credentials admin ne peut pas supprimer une sauvegarde Object Lock. Comment fonctionne l'immuabilité S3, pourquoi c'est différent d'une sauvegarde classique, et comment Microdiag Business l'active par défaut.

Équipe Sentinel 14 mars 2026 9 min Mis à jour : 20 mai 2026
Sommaire

Un ransomware moderne ne chiffre pas seulement vos fichiers. Il cherche et détruit vos sauvegardes en premier. C’est la raison pour laquelle des entreprises qui “avaient des backups” se retrouvent à payer la rançon : leurs sauvegardes étaient accessibles avec les mêmes credentials que leurs fichiers.

Object Lock S3 change cette équation fondamentalement.

Le problème des sauvegardes “classiques”

Voici le scénario type d’un ransomware professionnel en 2026 :

  1. L’attaquant s’introduit sur un poste (phishing, credential stuffing, vulnérabilité non patchée)
  2. Il passe de 3 à 48h à cartographier votre réseau : il cherche les serveurs de fichiers, les NAS, les destinations de sauvegarde
  3. Il identifie vos credentials de sauvegarde (souvent stockés en clair dans des scripts batch ou des applications)
  4. Il supprime ou chiffre vos sauvegardes en premier
  5. Il lance le chiffrement généralisé sur votre parc
  6. Il vous présente la demande de rançon

Si vos sauvegardes sont sur un NAS connecté au réseau, sur un disque externe monté en permanence, ou sur un service cloud accessible avec vos credentials Windows — elles sont vulnérables à cette séquence. L’attaquant a le temps, il n’est pas pressé.

Données 2025 : 93 % des attaques ransomware tentent de cibler les sauvegardes. Dans 68 % des cas où les victimes avaient des backups, ceux-ci étaient partiellement ou totalement compromis. Source : Veeam Ransomware Trends Report 2025.

Ce qu’est Object Lock — et pourquoi c’est différent

Object Lock S3 est une fonctionnalité des espaces de stockage objet (S3 — initialement Amazon, maintenant disponible chez OVHcloud, Scaleway, et d’autres). Elle permet de définir une politique d’immuabilité sur des objets stockés : pendant une durée définie, personne — pas même l’administrateur de compte avec toutes les permissions — ne peut supprimer ou modifier l’objet.

Deux modes d’Object Lock :

Governance mode : protège contre les suppressions accidentelles. Un utilisateur avec la permission spéciale s3:BypassGovernanceRetention peut quand même supprimer. Utile pour les tests.

Compliance mode : immuabilité totale. Aucun utilisateur, aucune opération API, aucun support technique ne peut supprimer l’objet avant expiration de la période de rétention. Pas de bypass, pas d’exception.

Microdiag Business active Object Lock en Compliance mode avec une rétention de 30 jours.

Pourquoi 30 jours ?

Le temps de séjour moyen d’un attaquant dans un réseau PME avant détection est de 21 jours (IBM Cost of a Data Breach 2025). 30 jours couvre ce délai avec une marge — vous avez la garantie qu’au moins une sauvegarde saine existe, même si l’attaquant était dans votre réseau depuis 3 semaines avant que vous ne le détectiez.

Une rétention plus courte (7 jours) ne couvre pas ce délai. Une rétention plus longue (90 jours) augmente les coûts de stockage sans bénéfice proportionnel pour la plupart des PME.

Comment ça fonctionne techniquement

L’architecture de sauvegarde Microdiag Business

Microdiag Business utilise Kopia (outil de sauvegarde open-source, chiffrement ChaCha20-Poly1305 côté client) avec un backend S3 OVHcloud.

Le flux d’une sauvegarde :

  1. Kopia chiffre les données avant de les envoyer — OVHcloud ne voit que des blocs chiffrés
  2. Les blocs sont uploadés dans un bucket S3 OVHcloud avec Object Lock activé
  3. Chaque snapshot est marqué avec une date d’expiration : today + 30 jours
  4. À partir de cet instant, ni les credentials Kopia, ni les credentials OVHcloud, ni même une clé de root AWS ne peuvent supprimer ce snapshot avant les 30 jours

Ce que l’attaquant peut faire : s’il vole vos credentials OVHcloud, il peut lister les snapshots existants, voir leur contenu chiffré, et empêcher les futurs backups (en modifiant la config). Ce qu’il ne peut pas faire : supprimer les snapshots déjà créés et sous Object Lock.

La règle 3-2-1-1

La règle de sauvegarde recommandée par l’ANSSI et la plupart des experts en continuité :

  • 3 copies de vos données
  • sur 2 supports différents
  • dont 1 hors site
  • dont 1 immuable (Object Lock)

La quatrième règle — l’immuabilité — est la nouveauté des bonnes pratiques 2024-2026. Les trois premières règles existent depuis des décennies mais ne protègent pas contre un attaquant qui a accès à vos credentials.

Microdiag Business — Sauvegardes immuables incluses

Object Lock 30 jours + chiffrement client + stockage OVHcloud France. Activé par défaut, sans configuration.

Voir la formule Business →

Ce que ça ne remplace pas

Object Lock protège vos sauvegardes — mais il faut quand même avoir des sauvegardes à protéger. Quelques points à vérifier :

Fréquence de sauvegarde

Si vous sauvegardez une fois par semaine et qu’une attaque a lieu le mercredi, vous perdez une semaine de données même avec Object Lock. Microdiag Business configure des sauvegardes incrémentielles toutes les 4 heures pendant les heures de bureau et une complète quotidienne.

Périmètre de sauvegarde

Quelles données sont réellement sauvegardées ? Souvent, on découvre lors d’un incident que le CRM était dans le cloud sans backup local, que les fichiers projets étaient sur le poste d’un collaborateur et non sur le serveur, que les emails n’étaient pas inclus.

L’Audit Flash Microdiag identifie les emplacements de données actifs sur chaque poste — un point de départ pour auditer votre couverture de backup.

Test de restauration

Une sauvegarde non testée est une sauvegarde dont la fiabilité est inconnue. Microdiag Business inclut un test de restauration mensuel automatisé sur un fichier de référence, avec alerte si la restauration échoue.

Object Lock et votre assureur cyber

Depuis 2024, les assureurs cyber qui couvrent le risque ransomware posent systématiquement la question des sauvegardes :

  • Avez-vous des sauvegardes testées régulièrement ? (oui)
  • Vos sauvegardes sont-elles physiquement séparées de votre réseau principal ? (oui — cloud OVHcloud)
  • Vos sauvegardes sont-elles protégées contre la modification par un ransomware ? (oui — Object Lock Compliance mode)

Les assureurs qui posent cette dernière question (de plus en plus nombreux) accordent des décotes de prime à ceux qui peuvent le prouver. Certains refusent de couvrir les pertes de données si les sauvegardes n’étaient pas protégées contre la suppression.

En cas d’incident — comment restaurer depuis Object Lock

Si vous détectez une compromission et que vous devez restaurer depuis un snapshot protégé :

  1. Isolez les postes compromis — Sentinelle Pro peut le faire automatiquement en 30 secondes sur détection d’activité ransomware
  2. Identifiez le snapshot sain — listez les snapshots Kopia pour trouver le dernier antérieur à la compromission
  3. Restaurez sur une infrastructure propre — ne restaurez pas sur les postes compromis avant d’avoir vérifié qu’ils sont assainis
  4. Conservez les preuves — les logs Wazuh et le rapport d’incident Microdiag constituent votre dossier pour l’assureur et la CNIL (notification 72h)

La restauration d’un snapshot Kopia sur un poste clean prend entre 30 minutes et 4 heures selon le volume de données — c’est le SLA cible de Microdiag Business avec le contrat 4h.

Pour comprendre l’ensemble du cycle de protection contre le ransomware — de la détection à la restauration — consultez notre guide complet ransomware 2026. Et pour voir comment la détection précoce permet d’intervenir avant que vos sauvegardes ne soient ciblées, notre article sur l’agent Wazuh Sentinelle Pro.

Sources : Veeam Ransomware Trends Report 2025, IBM Cost of a Data Breach Report 2025, AWS S3 Object Lock documentation, ANSSI Guide de la sauvegarde. Article mis à jour mai 2026.

Vous avez trouvé cet article utile ?
LinkedIn
À lire également
Sécurité
EDR vs antivirus : quelle différence et lequel choisir pour votre PME ?

Antivirus, EDR, XDR, SIEM... la terminologie sécurité est un maquis. Ce guide démêle clairement ce que fait chaque outil, pourquoi ils sont complémentaires et comment choisir sans se ruiner.

Lire l'article
Sécurité
Ransomware en 2026 : comment protéger votre PME sans budget IT

Les ransomwares ont muté. Ils ne se contentent plus de chiffrer — ils volent, menacent et publient. Ce guide vous explique comment fonctionne une attaque moderne et comment construire une défense réaliste pour une structure de moins de 200 personnes.

Lire l'article
Sécurité
Wazuh SIEM intégré dans Sentinelle Pro : détection d'intrusions pour PME sans SOC

Détection comportementale en temps réel, audit continu, corrélation d'événements — sans équipe SOC dédiée ni compétences en sécurité avancées.

Lire l'article