Une cyber attaque ne se limite presque jamais à un poste infecté. Quand elle vise un réseau et un stockage, elle cherche surtout à interrompre les échanges, chiffrer les données, voler les sauvegardes ou bloquer la reprise d’activité. Ici, je vais aller droit au but: comment elle s’installe, pourquoi elle se propage si vite, et quelles protections donnent réellement un avantage concret à une équipe informatique.
Les points clés à garder en tête avant de toucher à la configuration
- Le réseau sert surtout à faire circuler l’attaque et à multiplier les accès.
- Le stockage est la cible finale: données, sauvegardes, snapshots et réplications.
- La segmentation et les comptes d’administration séparés limitent la propagation.
- Les sauvegardes hors ligne ou immuables valent mieux qu’une copie disponible mais attaquable.
- La restauration doit être testée avant la crise, sinon elle reste théorique.
Ce que cherche vraiment un attaquant dans votre réseau et vos stockages
Dans la pratique, l’attaquant ne cherche pas seulement à entrer. Il cherche à prendre le contrôle du cœur de confiance: annuaire, consoles d’administration, hyperviseurs, serveurs de fichiers et, si possible, sauvegardes. Les chiffres récents en France montrent une menace qui reste très active, avec une forte pression sur la donnée elle-même et pas seulement sur le chiffrement.
Le déplacement est simple à comprendre: si l’attaquant casse la disponibilité, il vous met en urgence; s’il vole les données, il ajoute une menace de divulgation; s’il touche les sauvegardes, il coupe votre échappatoire. C’est pour cela qu’un incident réseau devient rapidement un incident de stockage. Une fois ce but compris, la suite logique est de regarder comment la compromission se propage d’un segment à l’autre.
Comment la compromission se propage d’un poste à l’autre
L’entrée initiale est souvent banale: identifiants volés, VPN sans MFA, machine non patchée, service exposé ou message de phishing bien ciblé. Ensuite viennent trois phases très classiques: reconnaissance, élévation de privilèges et mouvement latéral. Le mouvement latéral, c’est le déplacement d’un point d’accès à un autre dans le réseau; en clair, l’attaque cesse d’être locale.
- Reconnaissance: cartographie des partages, des serveurs et des comptes actifs.
- Élévation de privilèges: récupération d’un compte admin ou d’un jeton de session.
- Mouvement latéral: rebond vers les serveurs de fichiers, l’annuaire, puis les sauvegardes.
- Préparation de l’impact: exfiltration, désactivation de défenses, chiffrement ou sabotage.
En 2026, la mécanique la plus rentable reste celle qui combine infiltration discrète et pression sur la donnée. C’est précisément pour casser cette chaîne que le stockage ne doit jamais rester à portée directe du réseau de production.
Les protections de stockage qui font la différence
Dans ce domaine, je préfère une règle simple: une sauvegarde utile est une sauvegarde qui survit à un vol d’identifiants administrateur. La CISA recommande de conserver des copies hors ligne, chiffrées et régulièrement testées, et ce conseil reste solide parce qu’il répond au problème de fond: l’attaquant vise souvent les mêmes droits que ceux qui servent à restaurer.
| Mécanisme | Ce qu’il apporte | Limite | Mon usage recommandé |
|---|---|---|---|
| Sauvegarde hors ligne | Échappe au chiffrement et à la suppression à distance | Restauration plus lente | Copie de dernier recours pour les données critiques |
| Sauvegarde immuable | Empêche la modification ou l’effacement pendant une durée donnée | Dépend de la plateforme et du paramétrage | Meilleur compromis pour la plupart des environnements |
| Snapshot | Retour rapide en arrière sur un volume ou une VM | Peut être supprimé si le stockage est compromis | Très utile pour les erreurs et certains incidents courts |
| Réplication | Assure la continuité de service | Réplique aussi une corruption ou un chiffrement | Ce n’est pas une sauvegarde, seulement un mécanisme de continuité |
Si vous ne retenez qu’une chose: une réplication ne remplace jamais une vraie stratégie de sauvegarde. Je vise en général une logique 3-2-1: trois copies, sur deux supports différents, dont une hors ligne ou isolée. C’est aussi là qu’interviennent deux notions utiles à connaître: le RPO, qui mesure la perte de données acceptable, et le RTO, qui mesure le délai de reprise acceptable.
Quand les sauvegardes sont cadrées, il reste à empêcher l’attaque de circuler partout sur le réseau.
Comment segmenter le réseau pour freiner le mouvement latéral
Je ne considère pas une VLAN comme une protection en soi. Sans ACL (Access Control List, la liste de contrôle qui autorise ou bloque les flux), elle ne fait que ranger les machines sur un plan logique. La vraie coupure vient des règles entre zones, pas du nom du segment.
Découper sans créer une fausse sécurité
Je sépare toujours au minimum les postes utilisateurs, les serveurs métiers, l’administration, les sauvegardes et la supervision. L’objectif n’est pas la sophistication, mais la réduction des chemins possibles pour un intrus.
- Bloquer les flux est-ouest par défaut, puis n’ouvrir que ce qui est indispensable.
- Limiter SMB, RDP, WinRM et SSH aux usages strictement nécessaires.
- Isoler les serveurs de sauvegarde du trafic quotidien.
- Sortir les journaux et alertes sur un système que les postes standards ne peuvent pas modifier.
Lire aussi : NAS - À quoi ça sert vraiment et comment bien le choisir ?
Séparer l’administration de la production
Les consoles d’administration, les serveurs de sauvegarde et l’annuaire ne devraient pas partager le même chemin que les postes utilisateurs. Une station d’administration dédiée ou un jump server réduit fortement la surface d’attaque, surtout quand les privilèges élevés ne servent que depuis un poste durci. En clair, si un compte d’admin fuit, il ne doit pas offrir une autoroute vers tout le reste.
En pratique, je vise moins la perfection que la lisibilité: si je ne peux pas dessiner les flux en une page, la segmentation est probablement trop faible. Mais même un réseau bien découpé ne suffit pas si la réponse initiale est brouillonne.
Les 60 premières minutes après la détection
La première heure sert à empêcher l’extension de l’incident, pas à tout remettre en ordre. Le réflexe de “réparer vite” est souvent le plus coûteux, parce qu’il efface des indices et laisse l’attaquant conserver une porte de retour.
- Isoler les systèmes suspects du réseau, du Wi-Fi et des accès distants, puis couper les chemins de propagation évidents.
- Protéger les sauvegardes en suspendant les synchronisations et en coupant temporairement les accès de service qui pourraient propager le chiffrement.
- Préserver les preuves: journaux, horaires, comptes touchés, adresses IP, état des sessions et configurations actives.
- Révoquer les privilèges compromis depuis une station saine, en commençant par les comptes d’administration et les identités de secours.
- Basculer vers un canal de crise clair, avec un décideur unique et une communication interne cohérente.
- Éviter tout effacement prématuré tant que le périmètre, la persistance et le mode d’entrée ne sont pas compris.
Dans un incident réel, la discipline compte davantage que la vitesse brute. Une équipe qui sait isoler, documenter et contenir gagne beaucoup plus de temps qu’une équipe qui tente de “nettoyer” à l’aveugle. Une fois l’urgence passée, le plus utile est d’éviter les erreurs qui allongent la remise en état.
Les erreurs qui transforment un incident local en arrêt prolongé
Je ramène souvent ces discussions au couple RPO/RTO: l’un dit combien de données vous acceptez de perdre, l’autre combien de temps vous pouvez tenir sans service. Si vous n’avez jamais testé ces seuils, ils restent théoriques, et c’est précisément ce que l’attaque exploite.
- Confondre réplication et sauvegarde: la réplication recopie aussi une corruption ou un chiffrement.
- Partager le même domaine d’administration entre production et sauvegarde: un seul vol d’identifiants suffit alors à tout atteindre.
- Ne jamais restaurer à blanc: une sauvegarde non testée peut échouer au pire moment, ou revenir incomplète.
- Laisser les dépôts de backup modifiables depuis la production: c’est une porte d’entrée directe pour l’attaquant.
- Oublier les comptes de secours: sans identité de rupture, l’équipe perd du temps à récupérer ses propres accès.
- Réduire la durée de conservation des journaux: on perd alors la capacité à comprendre l’attaque et à prouver ce qui a été touché.
Ce sont des détails en apparence, mais ce sont eux qui font passer un incident de deux heures à plusieurs jours. C’est exactement pour cela que je préfère préparer le terrain avant la crise plutôt que commenter les dégâts après coup.
Le trio réseau, stockage et identité à verrouiller en premier
- Un réseau d’administration séparé, avec des flux strictement filtrés et des accès réservés aux opérations sensibles.
- Une chaîne de sauvegarde testée, avec au moins une copie immuable et une copie hors ligne réellement déconnectée.
- Des identités de secours contrôlées, utilisables seulement en crise et depuis une station d’administration saine.
Si je devais choisir un ordre d’exécution, je commencerais par les sauvegardes, puis par les comptes d’administration, puis par les flux est-ouest. C’est ce trio qui change le plus vite la résistance d’une infrastructure face à une attaque. En 2026, la vraie différence n’est plus entre “avoir” et “ne pas avoir” de sécurité, mais entre une sécurité déclarée et une sécurité vérifiée.
