🛡️ Storage Systems — Chapitre 34 : Ransomware et cyber-résilience

Chapitre dense sur la protection storage contre ransomware : menaces, snapshots immuables, air gap, Object Lock, détection comportementale, recovery testing, kill chain, durcissement backup, séparation des rôles, identité, KMS, clean room, forensic, Active Directory, bases de données, Kubernetes, cloud, NAS, object storage, SIEM, exercices de crise, solutions fournisseurs, métriques et checklist production. La sécurité, la conformité, la gouvernance et la cyber-résilience sont désormais des critères centraux du stockage enterprise.

MenacesSnapshots immuablesAir gapObject LockDétection comportementaleRecovery testing

34.1

Menaces

Chiffrement malveillant, suppression snapshots, exfiltration, destruction backups, vol d’identifiants, corruption logique et extorsion double/triple.

ThreatsEncryptionExfiltration

34.2

Snapshots immuables

Protection rapide : snapshots verrouillés, retention lock, secure snapshots, rollback contrôlé et réduction du RTO local.

ImmutableSnapshotsRollback

34.3

Air gap

Physique ou logique : séparation forte entre production, sauvegarde, archive, cyber vault et comptes administrateurs.

Air gapVaultIsolation

34.4

Object Lock

Protection contre suppression/modification : S3 Object Lock, WORM, governance/compliance mode, legal hold et retention.

Object LockWORMRetention

34.5

Détection comportementale

Anomalies I/O, fichiers modifiés massivement, entropy, taux de rename/delete, accès inhabituels et alertes précoces.

BehaviorAnomalyI/O

34.6

Recovery testing

Tester régulièrement les restaurations : fichier, VM, base, bucket, AD, KMS, backup immuable et environnement clean room.

RecoveryTestingRestore

34.7

Chaîne d’attaque ransomware

Phishing, credential theft, privilege escalation, lateral movement, backup deletion, encryption, exfiltration, extortion.

Kill chainLateral movementExtortion

34.8

Durcissement backup

Séparer comptes, MFA, immutable repositories, hardened Linux, service accounts dédiés, accès break-glass et audit.

BackupHardeningMFA

34.9

Séparation des rôles admin

Admin production, admin backup, admin KMS, admin SIEM, admin réseau et approbation dual control.

SoDAdminDual control

34.10

Identité, AD et comptes privilégiés

AD, Entra ID, LDAP, PAM, rotation secrets, bastion, comptes service, break-glass et recovery identity.

IdentityADPAM

34.11

KMS et clés de restauration

Protéger les clés : KMS/HSM, escrow, rotation, disable/destroy, accès decrypt et récupération après crise.

KMSHSMKeys

34.12

Clean room cyber recovery

Restauration isolée : analyse malware, validation données, reconstruction AD/IAM, staging, test applicatif avant retour production.

Clean roomForensicsValidation

34.13

Forensic et timeline incident

Préserver preuves : logs, snapshots, hashes, IOC, chain of custody, horodatage et analyse des accès.

ForensicsIOCTimeline

34.14

Recovery Active Directory / IAM

Restaurer identités : DC propres, comptes admins, GPO, DNS, PKI, MFA, federation et secrets managers.

AD recoveryIAMPKI

34.15

Recovery bases de données

PITR, logs transactionnels, snapshots propres, replicas contaminés, validation applicative et rollback logique.

DatabasePITRLogs

34.16

Cyber-résilience Kubernetes

Velero/Kasten, etcd, CRDs, PVC, secrets, images registry, RBAC, namespaces et opérateurs stateful.

K8sPVCSecrets

34.17

Cyber-résilience cloud

AWS/Azure/GCP/OVH/Scaleway : cross-account backups, object lock, snapshots, IAM, KMS, logging et region isolation.

CloudCross-accountRegion

34.18

NAS et serveurs fichiers

SMB/NFS, permissions, snapshots, honeypots, FPolicy, audit, file screening, ransomware rollback et quotas.

NASSMBFPolicy

34.19

Object storage et data lakes

Versioning, Object Lock, lifecycle, inventory, access logs, malware scan, data lake recovery et delete markers.

S3Data lakeVersioning

34.20

Monitoring et SIEM

Alertes : suppression snapshots, backup jobs failed, entropy, unusual deletes, KMS decrypt spike, admin logins et exfiltration.

SIEMAlertsSOC

34.21

Exercices tabletop et crise

Simulation comité de crise : qui décide, communication, juridique, assurance, police, métiers, IT et prestataires.

TabletopCrisisGovernance

34.22

Solutions cyber-resilience stockage

Dell Cyber Recovery, NetApp ransomware protection, HPE, IBM Safeguarded Copy, Pure SafeMode, Rubrik, Cohesity, Veeam.

VendorsCyber vaultSafeMode

34.23

Métriques de cyber-résilience

RPO cyber, RTO clean room, last clean copy, restore confidence, immutable coverage, identity recovery time et evidence pack.

MetricsRPORTO

34.24

Checklist production ransomware

GO/NO-GO : immutabilité, air gap, AD recovery, KMS, clean room, restores testés, SIEM, MFA, runbooks et preuves.

ChecklistGO/NO-GOAudit

34.1 Menaces

Positionnement

Chiffrement malveillant, suppression snapshots, exfiltration, destruction backups, vol d’identifiants, corruption logique et extorsion double/triple.

Point clé : la cyber-résilience stockage n’est pas une option technique. C’est une architecture complète de survie : identités, sauvegardes, immutabilité, détection, clean room, tests et gouvernance de crise.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.2 Snapshots immuables

Positionnement

Protection rapide : snapshots verrouillés, retention lock, secure snapshots, rollback contrôlé et réduction du RTO local.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.3 Air gap

Positionnement

Physique ou logique : séparation forte entre production, sauvegarde, archive, cyber vault et comptes administrateurs.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.4 Object Lock

Positionnement

Protection contre suppression/modification : S3 Object Lock, WORM, governance/compliance mode, legal hold et retention.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.5 Détection comportementale

Positionnement

Anomalies I/O, fichiers modifiés massivement, entropy, taux de rename/delete, accès inhabituels et alertes précoces.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.6 Recovery testing

Positionnement

Tester régulièrement les restaurations : fichier, VM, base, bucket, AD, KMS, backup immuable et environnement clean room.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.7 Chaîne d’attaque ransomware

Positionnement

Phishing, credential theft, privilege escalation, lateral movement, backup deletion, encryption, exfiltration, extortion.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.8 Durcissement backup

Positionnement

Séparer comptes, MFA, immutable repositories, hardened Linux, service accounts dédiés, accès break-glass et audit.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.9 Séparation des rôles admin

Positionnement

Admin production, admin backup, admin KMS, admin SIEM, admin réseau et approbation dual control.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.10 Identité, AD et comptes privilégiés

Positionnement

AD, Entra ID, LDAP, PAM, rotation secrets, bastion, comptes service, break-glass et recovery identity.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.11 KMS et clés de restauration

Positionnement

Protéger les clés : KMS/HSM, escrow, rotation, disable/destroy, accès decrypt et récupération après crise.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.12 Clean room cyber recovery

Positionnement

Restauration isolée : analyse malware, validation données, reconstruction AD/IAM, staging, test applicatif avant retour production.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.13 Forensic et timeline incident

Positionnement

Préserver preuves : logs, snapshots, hashes, IOC, chain of custody, horodatage et analyse des accès.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.14 Recovery Active Directory / IAM

Positionnement

Restaurer identités : DC propres, comptes admins, GPO, DNS, PKI, MFA, federation et secrets managers.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.15 Recovery bases de données

Positionnement

PITR, logs transactionnels, snapshots propres, replicas contaminés, validation applicative et rollback logique.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.16 Cyber-résilience Kubernetes

Positionnement

Velero/Kasten, etcd, CRDs, PVC, secrets, images registry, RBAC, namespaces et opérateurs stateful.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.17 Cyber-résilience cloud

Positionnement

AWS/Azure/GCP/OVH/Scaleway : cross-account backups, object lock, snapshots, IAM, KMS, logging et region isolation.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.18 NAS et serveurs fichiers

Positionnement

SMB/NFS, permissions, snapshots, honeypots, FPolicy, audit, file screening, ransomware rollback et quotas.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.19 Object storage et data lakes

Positionnement

Versioning, Object Lock, lifecycle, inventory, access logs, malware scan, data lake recovery et delete markers.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.20 Monitoring et SIEM

Positionnement

Alertes : suppression snapshots, backup jobs failed, entropy, unusual deletes, KMS decrypt spike, admin logins et exfiltration.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.21 Exercices tabletop et crise

Positionnement

Simulation comité de crise : qui décide, communication, juridique, assurance, police, métiers, IT et prestataires.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.22 Solutions cyber-resilience stockage

Positionnement

Dell Cyber Recovery, NetApp ransomware protection, HPE, IBM Safeguarded Copy, Pure SafeMode, Rubrik, Cohesity, Veeam.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.23 Métriques de cyber-résilience

Positionnement

RPO cyber, RTO clean room, last clean copy, restore confidence, immutable coverage, identity recovery time et evidence pack.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.

34.24 Checklist production ransomware

Positionnement

GO/NO-GO : immutabilité, air gap, AD recovery, KMS, clean room, restores testés, SIEM, MFA, runbooks et preuves.

Chaîne cyber-résilience

Threat→Detect→Contain→Clean copy→Clean room→Restore

Attention : réplication, snapshots et backups classiques peuvent aussi propager la corruption. Il faut identifier le dernier point sain et le valider dans un environnement isolé.

Composants à évaluer

Composant	Rôle / explication
Threat model	Chiffrement, suppression, exfiltration, corruption logique, compromission admin, destruction KMS/backup.
Prevention	MFA, PAM, segmentation, EDR, patching, least privilege, hardening consoles storage/backup/KMS.
Detection	Anomalies I/O, logs d’accès, SIEM, SOC, honeypots, entropy, mass delete, mass rename, decrypt spike.
Protection	Snapshots immuables, Object Lock, hardened backup, air gap, cyber vault, legal hold, copies cross-account.
Recovery	Clean room, dernier point sain, restore drills, AD/IAM/KMS recovery, validation applicative, failback.
Evidence	Rapports restore, logs, chain of custody, hash, RPO/RTO réels, décisions comité de crise.

Cas d’usage

Ransomware sur serveurs fichiers SMB/NFS
Compromission admin cloud ou backup
Suppression snapshots et backups
Exfiltration data lake ou buckets objet
Chiffrement VM, bases ou volumes SAN/NAS
Besoin assurance cyber, audit, conformité et preuves de reprise

Initial access→Privilege escalation→Backup deletion→Encryption→Extortion→Recovery

Forces

Réduit probabilité de paiement rançon
Transforme le backup en capacité de reprise prouvée
Protège contre suppression volontaire ou accidentelle
Réduit le chaos grâce aux runbooks et fire drills
Permet restaurer un environnement propre et juridiquement défendable

Risques / limites

Immutabilité mal configurée donne une fausse sécurité
Backups peuvent contenir malware ou données déjà chiffrées
AD/IAM/KMS oubliés rendent la restauration impossible
Clean room non préparée allonge fortement le RTO
Même compte admin sur prod et backup annule la protection

Matrice de décision ransomware / cyber-résilience

Question	Décision à prendre
Quelles données sont vitales ?	Classer applications, bases, fichiers, buckets, identités, clés KMS, backups et dépendances externes.
Quelle copie est vraiment propre ?	Déterminer dernier point sain, horodatage, logs, scan malware, cohérence application et chain of custody.
Quelle immutabilité ?	Snapshots immuables, Object Lock, hardened repositories, tape, air gap physique/logique et comptes séparés.
Comment détecter vite ?	SIEM/SOC, anomalies I/O, mass delete, mass rename, KMS decrypt spike, backup job failure, exfiltration.
Comment restaurer propre ?	Clean room, identité saine, clés disponibles, réseau isolé, validation métier et retour progressif.
Quelle preuve ?	Rapports d’exercices, RPO/RTO mesurés, logs, captures, décision comité, validation métier et audit trail.

Règle pratique : cyber recovery = restore technique + confiance métier + preuve forensic + identité saine.

Runbook crise ransomware

Déclarer l’incident, isoler systèmes suspects, geler changements et préserver preuves.
Identifier périmètre : fichiers, bases, VM, buckets, backups, AD/IAM, KMS, hyperviseurs, consoles stockage.
Stopper propagation : comptes, sessions, VPN, partages, jobs, tokens, clés API et accès backup.
Identifier dernier point sain : logs, snapshots, backups immuables, Object Lock, tape, copies offline.
Restaurer en clean room : AD/IAM/KMS, services de base, données, applications et tests métier.
Scanner, valider, documenter puis réintégrer progressivement en production.
Mesurer RPO/RTO réel, préparer rapport assurance/audit et corriger les failles.

# Examples: cyber recovery checks
date
journalctl -p err -n 200
find /data -type f -mtime -1 | wc -l
find /data -type f -name "*.locked" -o -name "*.encrypted" | head
aws s3api get-object-lock-configuration --bucket critical-backups
aws s3api list-object-versions --bucket critical-data --max-items 20
kubectl get pods,pvc,volumesnapshot -A
rclone check backup:critical restore-test:critical --one-way
sha256sum -c evidence-checksums.txt

NO-GO : reprise directe depuis backup non validé, restauration dans réseau contaminé, clés KMS indisponibles, AD compromis non reconstruit, ou absence de preuve du dernier point sain.