L’éditeur enrichit Commvault Threat Scan de deux nouveaux modes d’analyse, Hyper Threat Hunting et Deep Inspection, pour mieux traquer les menaces dormantes dans les données de sauvegarde et garantir des restaurations propres après incident. Parce que quand un attaquant peut rester plusieurs semaines dans un système avant détection, restaurer sans recontrôler l’intégrité des données devient une faiblesse stratégique…

Les sauvegardes sont indispensables. Les entreprises le savent et connaissent leur importance pour assurer leur cyber-résilience dans un monde numérique où le ransomware demeure une menace permanente. Mais les sauvegardes en elles-mêmes sont aussi bien trop souvent un angle mort pour les équipes cyber. Ce n’est d’ailleurs pas tant la sauvegarde elle-même que la restauration qui demeure dans l’ombre de la cyber-résilience. Selon le rapport Verizon DBIR 2025, le temps médian de présence d’un attaquant avant détection atteint 24 jours dans le cas d’une compromission non déclarée. Largement de quoi disséminer du code malveillant dans les systèmes et donc dans les jeux de sauvegarde.

Face aux ransomwares et autres nouvelles menaces persistantes, les sauvegardes ne suffisent plus : encore faut-il vérifier qu’elles sont saines avant restauration.

En matière de cyber-résilience, le moment le plus risqué n’est plus seulement l’attaque initiale. Il se joue aussi au moment de la restauration, quand l’entreprise tente de remettre en route ses applications et ses données sans être certaine que ses sauvegardes sont réellement propres. C’est sur ce point précis que Commvault fait évoluer son module Threat Scan, avec une logique plus poussée de chasse aux menaces dans les environnements de sauvegarde et de validation des données avant remise en production.

Deux modes d’analyse complémentaires

L’approche retenue repose sur une détection en profondeur articulée autour de deux mécanismes. Le premier, baptisé Hyper Threat Hunting, cible les indicateurs connus de compromission (IOC) au sein des données de sauvegarde. Objectif : permettre aux équipes de réponse aux incidents d’appliquer directement leurs artefacts de chasse aux menaces (hash, signatures, patterns) aux environnements de backup, à grande échelle.

Le second mode, Deep Inspection, ajoute une analyse plus poussée au niveau des fichiers, en combinant signatures de malwares, heuristiques, apprentissage automatique et détection assistée par IA. Cette couche vise les menaces qui échappent aux approches purement IOC : variantes inconnues, comportements suspects associés aux ransomwares, fichiers chiffrés de façon anormale.

Les deux modes peuvent être planifiés en continu ou déclenchés à la demande lors d’un incident, ce qui offre la souplesse nécessaire entre surveillance proactive et réponse d’urgence.

L’évolution est importante, car elle fait glisser la sauvegarde d’un simple filet de sécurité vers un espace d’investigation à part entière. Jusqu’ici, beaucoup d’outils savaient conserver et restaurer. Beaucoup moins savaient aider les équipes à distinguer rapidement ce qui est sain, douteux ou compromis avant redémarrage.

De la détection à la récupération chirurgicale

L’intérêt de l’annonce ne se limite pas à la détection. Commvault associe ces capacités à sa technologie de récupération synthétique, actuellement en instance de brevet, pour relier directement le workflow de chasse aux menaces à celui de la restauration. Concrètement, une fois les risques identifiés, le système retire chirurgicalement les ensembles de données compromis tout en restaurant les données saines vers la production. L’entreprise peut ainsi maximiser la préservation de ses données sans compromettre la propreté de l’environnement restauré.

« En combinant nos algorithmes propriétaires de corrélation de signaux et d’IA avec des mécanismes de chasse ciblée, puis en reliant directement cette détection à une récupération vérifiée, nous apportons aux organisations quelque chose d’essentiel : non seulement la capacité d’identifier rapidement les menaces, mais aussi l’assurance que les données restaurées sont propres », explique Pranay Ahlawat, directeur de la technologie et de l’IA chez Commvault.

Le pari du ResOps

Bien évidemment, les DSI et RSSI devront vérifier la pertinence de la promesse dans leur propre environnement et mesurer la valeur de la solution dans la précision réelle des détections, le niveau de faux positifs et la capacité à tenir la charge à grande échelle sur des jeux de sauvegardes massifs. Néanmoins, la solution est cohérente avec l’évolution des contextes et des bonnes pratiques Cyber.

Cette annonce s’inscrit d’ailleurs dans la stratégie plus large de Commvault autour du concept de ResOps, pour Resilience Operations, qui vise à casser les silos entre équipes IT et sécurité pour piloter la résilience comme une discipline continue. L’enjeu est réel. Tant que la chasse aux menaces dans les sauvegardes reste un processus manuel, déconnecté des outils de restauration, le risque de réinfection post-incident demeure élevé. En intégrant les deux dans une même plateforme, Commvault se positionne sur un créneau encore peu adressé, à la croisée du backup, du DFIR (Digital Forensics and Incident Response) et de la cyber-résilience.

Les nouvelles fonctionnalités sont disponibles immédiatement, sans surcoût pour les clients existants de Threat Scan, proposé en offre autonome ou dans le cadre du pack Cyber Resilience de Commvault.

____________________________

 

À lire également :

Commvault muscle la cyberrésilience sur Google Cloud

Commvault met l’IA conversationnelle au service de la sauvegarde et lance ses Data Rooms

Commvault renforce sa gamme HyperScale avec ‘Edge’ et ‘Flex’ pour doper la cyber-résilience

Naviguer entre les complexités du cloud et l’énigme de la cyber-résilience…

La stratégie de cybersécurité axée sur la résilience, un gage de réussite…

Comment éviter le déficit de préparation et assurer une reprise rapide après une cyberattaque ?