Les rapports publiés fin 2025 par l’ENISA dans son Threat Landscape, ainsi que les synthèses de l’ANSSI sur l’activité de réponse à incident, confirment que les attaques par ransomware restent l’une des premières causes d’interruption opérationnelle en Europe.
Plusieurs tendances observées en 2025 se prolongent début 2026 :
persistance d’attaques ciblant collectivités territoriales, hôpitaux et opérateurs de services essentiels ;
diversification des groupes cybercriminels, avec des modèles Ransomware-as-a-Service toujours actifs ;
pression accrue sur les chaînes d’approvisionnement et prestataires IT.
Le Cost of a Data Breach Report 2025 d’IBM souligne que les incidents impliquant ransomware continuent d’afficher des coûts globaux élevés, notamment lorsque la restauration des systèmes est lente ou incomplète. Dans le secteur financier, ces coûts ne se limitent pas aux aspects techniques : ils incluent la perte de confiance client, l’impact réglementaire et la pression médiatique.
2025–2026 : le problème des sauvegardes « présentes mais inutilisables »
Les analyses de cabinets spécialisés en réponse à incident (Mandiant, Palo Alto Unit 42, Sophos Incident Response) montrent un constat récurrent sur les attaques observées en 2025 :
des sauvegardes existent,
mais elles sont accessibles depuis le réseau compromis,
ou les comptes d’administration sont partagés entre production et sauvegarde,
ou les procédures de restauration n’ont pas été testées depuis plusieurs années.
Dans plusieurs incidents publics européens en 2025, les attaquants ont d’abord cherché à :
identifier les systèmes de sauvegarde,
compromettre les comptes à privilèges,
supprimer ou chiffrer les backups avant de déclencher la phase de chiffrement massive.
Ce scénario n’est plus exceptionnel : il est désormais intégré aux playbooks des groupes ransomware.
Sauvegardes hors ligne : un principe ancien redevenu central
La règle « 3-2-1 » reste la référence minimale :
3 copies des données,
2 supports différents,
1 copie hors ligne ou immuable.
Les recommandations techniques publiées en 2025 par plusieurs autorités nationales de cybersécurité insistent sur deux points :
l’immutabilité logique (snapshots verrouillés, stockage WORM),
l’isolement fort des environnements d’administration des sauvegardes.
Dans le contexte bancaire et assurantiel, cela implique :
une séparation stricte des identités d’administration,
une revue régulière des droits d’accès aux systèmes de backup,
une surveillance spécifique des activités anormales sur les dépôts de sauvegarde.
Les retours d’expérience 2025–2026 montrent clairement que les organisations disposant de sauvegardes réellement isolées et régulièrement testées réduisent significativement :
la durée d’interruption,
la dépendance au paiement d’une rançon,
l’impact réputationnel.
DORA : de la sauvegarde technique à la résilience gouvernée
Depuis l’entrée en application complète de DORA en 2025, les établissements financiers doivent démontrer :
des scénarios de défaillance extrême,
des tests réguliers de résilience,
une cartographie détaillée des dépendances critiques,
une supervision renforcée des prestataires TIC.
Les sauvegardes ne relèvent plus uniquement du domaine IT : elles deviennent un élément central de la gouvernance de la résilience opérationnelle.
Les autorités de supervision européennes ont rappelé en 2025 que la capacité de restauration effective fait partie intégrante de la résilience opérationnelle numérique. Cela implique :
des exercices incluant des hypothèses de compromission généralisée,
des tests de restauration complets, pas seulement partiels,
une coordination avec les hébergeurs et infogéreurs.
Cloud, hybridation et nouvelles dépendances
Les architectures 2025–2026 sont majoritairement hybrides :
on-premise,
cloud public,
SaaS critiques,
prestataires spécialisés.
Les incidents récents montrent que les sauvegardes cloud mal configurées ou non isolées peuvent être supprimées ou altérées via des identifiants compromis.
Les autorités européennes, dans leurs communications de 2025 sur la résilience numérique, insistent sur :
la cartographie des dépendances cloud,
la capacité à restaurer indépendamment d’un fournisseur unique,
l’intégration des scénarios de panne ou compromission de prestataire dans les exercices de crise.
2026 : vers une maturité mesurable
En février 2026, la question n’est plus de savoir si une organisation dispose de sauvegardes, mais :
ces sauvegardes sont-elles réellement isolées ?
sont-elles testées en conditions réalistes ?
les délais de reprise sont-ils compatibles avec les engagements réglementaires et contractuels ?
les dépendances critiques sont-elles identifiées et priorisées ?
Les attaques observées en 2025 et début 2026 montrent que la résilience ne repose pas uniquement sur la prévention, mais sur la capacité démontrable à restaurer.
Perspective sectorielle
Pour la place financière, la résilience ne peut être pensée à l’échelle d’un SI isolé. Elle doit intégrer :
la coordination inter-établissements,
les dépendances aux prestataires critiques,
la cohérence des pratiques de sauvegarde et de restauration.
Les groupes de travail sectoriels dédiés aux PCA, aux scénarios extrêmes et à la résilience opérationnelle constituent un cadre pertinent pour formaliser des standards communs.
Dans un environnement où les attaques ransomware demeurent structurantes, la sauvegarde hors ligne et la capacité de restauration testée ne sont plus un sujet technique secondaire : elles deviennent un indicateur de maturité stratégique.
