Selon le rapport Key Figures 2025 du CCB, le ransomware reste l’une des principales menaces pour les organisations belges. Dans les entreprises, l’accent est encore souvent mis sur la manière dont une attaque se produit. Une analyse des causes profondes permet certes de prendre les mesures correctives nécessaires. Mais lorsqu’une organisation est confrontée à un ransomware, on sait que ce n’est finalement pas la bonne question.
La vraie question est de savoir ce qui se passe lorsque l’attaque a un impact réel. Et ce point se situe presque toujours au même endroit : les données. Dès que les données deviennent inaccessibles, une organisation ralentit. Voire s’arrête complètement. Et à partir de ce moment, la discussion se déplace automatiquement vers le stockage.
C’est aussi la raison pour laquelle le stockage a pris ces dernières années un rôle beaucoup plus actif dans la cybersécurité. Non pas en remplacement des mécanismes de sécurité existants, mais comme une dernière — et de plus en plus souvent première — ligne de défense indispensable.
Une première étape dans ce domaine est l’immutabilité. Il ne s’agit plus de sauvegardes classiques pouvant être écrasées, mais de snapshots qui ne peuvent tout simplement pas être modifiés. Chez IBM, cela se concrétise par des safeguarded copies : des copies entièrement isolées et inaccessibles aux applications.
Ce principe est simple, mais puissant. Si personne ne peut accéder à ces données, elles ne peuvent pas être compromises. Cela offre aux organisations un niveau de confiance rarement atteint en matière de cybersécurité.
Mais la protection seule ne suffit pas. Il faut aussi savoir quand quelque chose ne va pas, et idéalement le plus rapidement possible. C’est là qu’apparaît une deuxième évolution importante. La détection se déplace des outils séparés vers le stockage lui-même. Non pas comme une couche supplémentaire, mais comme une fonction intégrée au système.
Avec IBM FlashSystem, une première analyse est effectuée directement au niveau des disques. Les opérations sur les données sont surveillées afin de détecter des comportements anormaux, comme un chiffrement soudain, et identifiées localement. Ces signaux sont ensuite corrélés dans le cloud (IBM Storage Insights), ce qui permet non seulement une détection, mais aussi un contexte et des alertes rapides.
Le grand avantage est que cette analyse suit le flux normal des données, sans scans ni surcharge supplémentaire. Au lieu de minutes ou d’heures, on se rapproche aujourd’hui d’une détection en temps quasiment en temps réel. Et cela fait toute la différence, car le ransomware n’est pas un problème que l’on résout après coup. Il faut l’arrêter le plus vite possible.
Grâce à la safeguarded copy intacte, la reprise devient alors un exercice maîtrisable. Il suffit de revenir à une copie de données isolée, restée hors de portée de l’attaque.
On observe aujourd’hui que cette couche de défense continue d’évoluer. Alors que l’accent est actuellement mis sur le ransomware, la détection s’étendra dans un futur proche à des menaces plus larges telles que le vol de données et des attaques destructrices comme les wiperware.
Une chose devient donc claire : le stockage n’est plus simplement l’endroit où les données sont conservées. C’est l’endroit où se décide la capacité d’une organisation à résister à une attaque.