5 erreurs qui coûtent le plus cher après une cyber attaque

Introduction

Dans un monde où les attaques par ransomware et les fuites de données se multiplient, le coût d’un incident de sécurité ne se limite pas à la rançon ou aux jours de paralysie des systèmes. Selon une analyse de 2025 de Bluefin basée sur le rapport IBM "Cost of a Data Breach", le coût moyen d’une violation de données a encore atteint 4,44 millions de dollars au niveau mondial, et il dépasse 10 millions de dollars aux États‑Unis[source]. Ces montants couvrent non seulement la perte d’activité, mais aussi les pénalités réglementaires, les actions en justice, la perte de confiance des clients et le temps nécessaire pour rétablir les opérations. Pour les PME françaises, une attaque réussie peut se transformer en catastrophe si la réponse est improvisée. Dans cet article, nous passons en revue les erreurs les plus fréquentes qui aggravent les conséquences d’une cyberattaque et expliquons comment les éviter afin de protéger votre entreprise et d’accélérer votre rétablissement.

1. Penser que la sauvegarde suffit

Beaucoup d’entreprises croient qu’une politique de sauvegarde régulière constitue une assurance tous risques contre les cybermenaces. Elles se reposent sur des solutions de sauvegarde en ligne ou sur des copies de machines virtuelles et imaginent qu’en cas d’attaque, il suffira de restaurer les données pour repartir comme si de rien n’était. Cette croyance peut coûter très cher. Les opérateurs de ransomwares visent désormais en priorité les dépôts de sauvegarde : une étude de Sophos a montré que 96 % des attaques de ransomware en 2023 ont tenté d’effacer, de chiffrer ou de corrompre les sauvegardes avant de demander une rançon[source]. Autrement dit, même si vous disposez de sauvegardes, il est probable qu’elles soient compromises si elles sont accessibles depuis le réseau attaqué.

Une stratégie de sauvegarde doit donc intégrer plusieurs niveaux d’isolement. La règle 3‑2‑1‑1‑0 (trois copies de vos données, sur deux supports différents, avec au moins une copie hors site et une copie immuable, et des sauvegardes testées sans erreur) est devenue la référence. En pratique, cela signifie conserver au moins une sauvegarde sur un support totalement déconnecté (bande, disque dur extérieur non monté ou service immuable en cloud), utiliser un mécanisme de déduplication chiffré qui empêche la suppression ou la réécriture des blocs, et restreindre l’accès à ce dépôt via des identifiants séparés. En complément, il est crucial de diversifier les solutions : combiner un serveur de sauvegarde comme Proxmox Backup Server avec un logiciel tiers tel que Veeam, NAKIVO ou ARX One réduit les risques de vulnérabilité unique.

2. Ne jamais tester les restaurations

Dans de nombreuses entreprises, la procédure de restauration est confiée au hasard. Les sauvegardes sont vérifiées de temps à autre par un script automatique, mais personne n’a pris le temps de réaliser un test de restauration complet. La réalité est alarmante : selon un rapport Veeam 2024, seuls 15 % des organisations testent leurs sauvegardes chaque jour, la majorité se contentant de les tester chaque semaine ou moins[source]. Plus inquiétant encore, 62 % des organisations ne réalisent pas d’exercices réguliers de sauvegarde et de restauration, et 71 % ne testent jamais leur bascule ou leur plan de secours[source]. Au moment de la crise, elles découvrent que certaines sauvegardes sont corrompues, que la restauration se fait à un rythme beaucoup plus lent que prévu ou que les scripts ne tiennent pas compte des dépendances entre systèmes.

La seule façon de garantir la fiabilité d’une sauvegarde est de la tester régulièrement. Il s’agit non seulement de vérifier l’intégrité des fichiers, mais aussi de chronométrer la durée de restauration, de simuler la reconstruction d’un serveur ou d’un service critique, et de s’assurer que les configurations (réseaux, bases de données, droits d’accès) sont restaurées correctement. Dans une logique DevOps, ces tests devraient être automatisés et intégrés aux cycles de maintenance. Un dirigeant ou un DSI doit obtenir un rapport mensuel indiquant le taux de succès des restaurations et les corrections apportées. Ce contrôle continu permet de découvrir les points faibles avant que les pirates ne les exploitent.

3. Utiliser un compte admin unique

L’erreur est d’autant plus répandue que les équipes IT sont petites : un seul compte "admin" ou "root" est utilisé par plusieurs personnes pour déployer des machines virtuelles, gérer des sauvegardes ou installer des mises à jour. On imagine que c’est plus pratique et qu’il suffit de changer le mot de passe en cas de départ d’un collaborateur. Ce fonctionnement est pourtant catastrophique en cas d’attaque. D’abord, il enfreint la règle du moindre privilège : un simple hameçonnage suffit à dérober des identifiants administrateur et à donner aux attaquants la main sur l’ensemble du SI. Le Ponemon Institute a révélé que 74 % des organisations continuent d’utiliser des identifiants administratifs partagés pour des systèmes critiques[source]. Le rapport Verizon Data Breach Investigations 2024 a constaté que 49 % des violations de données impliquent des identifiants compromis ou volés[source].

Pour réduire le risque, chaque administrateur devrait disposer d’un compte nominatif avec les privilèges strictement nécessaires. Les accès à forte puissance (virtualisation, sauvegarde, AD) doivent être protégés par une authentification multifactorielle (MFA) et stockés dans un coffre‑fort numérique. Lorsque cela est possible, privilégiez des solutions d’élévation de privilèges temporaires (Just‑In‑Time) et d’enrôlement des clés (SSH avec rôle). En cas de compromission, le périmètre impacté est restreint et l’investigation est facilitée.

4. Oublier les postes utilisateurs

Les cyberattaques ne ciblent pas uniquement les serveurs : la plupart d’entre elles démarrent sur un poste utilisateur mal protégé. Les équipes IT concentrent leurs efforts sur la virtualisation, le stockage et les pare‑feux, mais négligent les mises à jour logicielles ou la segmentation des réseaux pour les PC. Les chiffres sont édifiants : des études montrent que des vulnérabilités non corrigées sont responsables d’environ 60 % des violations de sécurité, et 60 % des organisations victimes déclarent que la cause racine de la violation était un correctif manquant[source]. Par ailleurs, 81 % des DSI et RSSI admettent retarder le déploiement des correctifs[source], et 80 % des entreprises reconnaissent que les correctifs n’ont pas été appliqués sur l’ensemble des terminaux[source].

Cela signifie qu’un attaquant n’a pas besoin d’exploiter une faille "zero‑day" sophistiquée : il lui suffit de cibler des postes non mis à jour pour trouver une porte d’entrée. Afin d’éviter cela, il est essentiel de mettre en place une gestion centralisée des patchs pour toutes les stations de travail et de s’assurer que les mises à jour de l’OS et des logiciels (navigateur, suite bureautique, VPN, client de messagerie) sont déployées rapidement. La segmentation réseau doit isoler les postes des serveurs et limiter les échanges latéraux. Enfin, la sensibilisation des collaborateurs reste indispensable : des campagnes de phishing simulé et des formations régulières réduisent la probabilité qu’un salarié exécute une pièce jointe malveillante ou divulgue ses identifiants.

5. Attendre la crise pour faire un PRA

La dernière erreur, et sans doute la plus lourde de conséquences, consiste à différer la construction d’un plan de reprise d’activité (PRA). Beaucoup de PME considèrent qu’elles n’ont pas besoin de formaliser un PRA ou qu’elles s’en occuperont après un premier incident. Selon un rapport de l’Uptime Institute, 22 % des organisations n’ont aucun plan de reprise d’activité formel[source]. Dans les entreprises qui disposent d’un tel plan, 7 % ne l’ont jamais testé, et parmi celles qui testent, la moitié ne le font qu’une fois par an ou moins[source]. Le coût de cette négligence est vertigineux : l’Uptime Institute estime qu’une heure de panne d’infrastructure critique coûte en moyenne plus de 300 000 dollars et que la facture de récupération après une attaque par ransomware atteint en moyenne 1,5 million de dollars[source].

Un PRA ne se limite pas à un document décrivant des procédures ; c’est un exercice vivant qui prévoit plusieurs scénarios (ransomware, incendie, panne réseau majeure) et définit des délais de reprise (RTO/RPO) ainsi que des responsabilités précises. Pour être efficace, il doit être associé à un plan de continuité d’activité (PCA) qui organise le maintien des fonctions essentielles pendant la crise. Tester son PRA au moins deux fois par an – en se rapprochant le plus possible d’un incident réel – permet de vérifier la réactivité des équipes, la cohérence des scripts et la disponibilité du matériel de secours.

Conclusion

Aucune entreprise n’est totalement à l’abri d’une attaque, mais l’impact financier et opérationnel dépend largement des décisions prises avant et après l’incident. Penser qu’une sauvegarde suffit, négliger les tests de restauration, partager des comptes administratifs, oublier les postes utilisateurs et reporter la conception d’un PRA sont autant d’erreurs qui peuvent transformer un simple incident en catastrophe. À l’inverse, les organisations qui appliquent les bonnes pratiques (sauvegardes immuables, tests réguliers, comptes administrateurs individuels, patch management rigoureux, PRA et PCA éprouvés) réduisent considérablement les dégâts et démontrent à leurs clients et partenaires qu’elles prennent la cybersécurité au sérieux. Pour vous aider à évaluer votre niveau de préparation et à corriger vos vulnérabilités, nos experts SPM Digital proposent un audit de résilience gratuit : prenez rendez‑vous pour discuter des mesures à mettre en place dès maintenant.