Pendant la majeure partie de la dernière décennie, le stockage était le dernier des soucis des équipes de conformité. Vous aviez un SIEM. Vous aviez une détection des points d’extrémité (EDR). Vous aviez une politique de pare-feu et un cadre de gestion des accès. Le stockage n’était que de l’infrastructure, quelque chose qui appartenait à l’informatique, qui fonctionnait en arrière-plan, que la conformité passait en revue une fois lors d’un audit avant de l’oublier jusqu’au suivant. Ce n’est plus là que s’arrête la conversation.
NIS-2 est entrée en vigueur dans toute l’UE en octobre 2024. DORA s’applique au secteur financier depuis janvier 2025. La directive sur la résilience des entités critiques (CER) a étendu l’obligation à la continuité physique et opérationnelle. En Allemagne, KRITIS fixe certaines des exigences de protection des infrastructures critiques les plus strictes d’Europe — préexistant à NIS-2 et s’appliquant en parallèle pour les organisations opérant sur le marché allemand. Aux États-Unis, CIRCIA redéfinit ce que les opérateurs d’infrastructures critiques doivent démontrer en cas d’incident cybernétique majeur. Ces réglementations ont un point commun facile à manquer si l’on se contente de lire les grands titres : elles ne demandent pas si vous disposez d’outils de sécurité. Elles demandent si vous pouvez prouver que vos données sont récupérables, et si vous pouvez prouver qu’elles n’ont pas été altérées. C’est une question de stockage.
Pourquoi la couche de stockage reste systématiquement ignorée
Ce décalage est compréhensible. Les programmes de conformité ont été bâtis autour des outils qui généraient des journaux d’activité (logs) — pare-feux, plateformes d’identité, agents de terminaux. Historiquement, les systèmes de stockage n’étaient pas des sources principales de logs. Ils n’entraient pas dans le périmètre des tests d’intrusion. Ils ne faisaient pas l’objet d’exercices de simulation de crise. L’hypothèse était la suivante : si le reste des contrôles tient bon, le stockage se portera bien.
Le rançongiciel (ransomware) a définitivement balayé cette certitude. Le mode d’attaque qui préoccupe le plus les régulateurs aujourd’hui n’est pas celui qui exfiltre les données, mais celui qui les chiffre, attend 30, 60, 90 jours, puis se déclenche. Au moment où le chiffrement s’active, chaque sauvegarde de la fenêtre standard contient une copie de l’infection. La question qui s’ensuit n’est pas « avez-vous des sauvegardes ? », mais plutôt : « avez-vous des points de récupération dont vous pouvez prouver qu’ils n’ont pas été touchés ? »
C’est une question bien plus difficile. Et la plupart des organisations découvrent qu’elles ne peuvent pas y répondre clairement tant qu’un auditeur ne la leur a pas posée.
Ce que les régulateurs testent réellement
Si l’on fait abstraction du jargon propre à chaque texte et des annexes techniques, la question de conformité qui refait surface dans NIS-2, DORA, CER et CIRCIA se résume à trois points :
- Pouvez-vous restaurer vos données ? Non pas « disposez-vous de sauvegardes », mais pouvez-vous démontrer, dans des conditions de test, un objectif de temps (RTO) et de point de récupération (RPO) défini pour vos systèmes critiques ? Cette capacité est-elle documentée, testée et prouvée ?
- Vos données de récupération sont-elles saines ? Si un attaquant a bénéficié d’un accès privilégié à votre environnement pendant 60 jours, comment savez-vous que les points de récupération sur lesquels vous vous appuyez n’ont pas été modifiés ? Quel est le mécanisme de vérification ? Qui le contrôle — et, point critique, un compte administrateur compromis aurait-il pu y toucher ?
- Qui a fait quoi, et quand ? Lorsqu’un incident survient et que l’enquête commence, les régulateurs exigent une piste d’audit qui retrace chaque changement de configuration, chaque accès, chaque modification de politique à une identité et à un horodatage. Pas un journal généraliste, mais un enregistrement spécifique, continu et infalsifiable.
Ces trois questions ciblent directement l’infrastructure de stockage. Pas le périmètre réseau. Pas le poste de travail. Mais bien la couche où résident réellement les données.
L’évaluation honnête que la plupart des organisations n’ont pas faite
Le manque de conformité dans le stockage n’est généralement pas un manque de technologie ; c’est un manque de preuves. La technologie pour répondre à ces questions existe. Ce qui manque à la plupart des organisations, c’est la posture : la combinaison de contrôles qui fonctionnent ensemble de manière cohérente et qui produisent des preuves documentées plutôt qu’une simple assurance verbale.
Voyons ce que signifie réellement « nous avons des sauvegardes » lors d’un examen approfondi. Cela signifie qu’il y a des tâches de sauvegarde planifiées. Cela ne signifie pas que ces sauvegardes sont isolées de la surface d’attaque. Cela ne signifie pas que les données n’ont pas été modifiées. Cela ne signifie pas que la récupération a été testée récemment. Cela ne signifie pas qu’il existe une preuve cryptographique d’intégrité à fournir à un auditeur.
L’écart entre « nous avons des sauvegardes » et « nous pouvons démontrer une capacité de récupération vérifiable et infalsifiable » est l’endroit où se situent actuellement la plupart des entreprises. Et pour les entités régulées soumises à NIS-2, DORA ou CIRCIA, cet écart est de plus en plus synonyme de réussite ou d’échec à un audit.
À quoi ressemble réellement une posture de stockage prête pour la conformité
Il convient d’être précis ; non pas sur les produits, mais sur les résultats. Un environnement de stockage qui répond aux questions ci-dessus présente quelques caractéristiques bien identifiables :
Les points de récupération (comme les instantanés/snapshots) sont immuables. Ils ne sont pas verrouillés par convention ou par politique, mais au niveau de la couche d’infrastructure, avec une vérification cryptographique que la donnée n’a pas changé depuis son écriture. Le contrôle d’intégrité ne repose pas sur la confiance envers un administrateur, mais sur la confiance envers une empreinte numérique (hash).
- La protection est continue, pas périodique. Les fenêtres de sauvegarde créent des failles. Une attaque par rançongiciel qui survient à 23h50 contre une sauvegarde planifiée à minuit entraîne près de 24 heures d’écritures non protégées. La protection continue des données (CDP) — qui enregistre chaque écriture en temps réel — comble ce manque. La récupération ne se fait pas à la dernière sauvegarde, mais à l’instant précis précédant l’attaque.
- L’accès est gouverné et auditable. Chaque action administrative sur la couche de stockage est attribuée à une identité et horodatée. La piste d’audit n’est pas une réflexion après coup — c’est une fonction native du système de stockage, générée automatiquement et interrogeable à la demande.
- La résilience est mesurée, elle n’est pas supposée. À la question « quelle est la résilience de votre stockage ? », on ne devrait pas répondre par une description d’architecture. On devrait y répondre par un chiffre, une méthodologie et un horodatage. Les organisations qui ont adopté une posture de résilience quantifiée — connaissant leur score, ce qui le fait varier et comment il s’aligne sur leurs obligations réglementaires — abordent la conformité de manière radicalement différente de celles qui s’appuient encore sur des diagrammes d’architecture.
Une fenêtre de tir qui se referme
L’application de la directive NIS-2 est déjà active. DORA est entrée en vigueur en janvier 2025. Les régulateurs n’attendent pas que les organisations se familiarisent avec ces cadres pour commencer à poser des questions.
Les entreprises qui s’en sortiront le mieux face aux audits ne sont pas celles qui se sont précipitées pour déployer un outil de conformité dans les semaines précédant l’évaluation. Ce sont celles qui ont développé une véritable posture : l’immuabilité, la continuité, la gouvernance des accès, la piste d’audit — intégrées comme des propriétés natives de leur infrastructure, et non comme des extensions greffées à la dernière minute.
Le stockage a toujours été l’endroit où vivent les données. C’est désormais aussi là que vivent les preuves de conformité. Reste à savoir si votre infrastructure de stockage est prête à les fournir.
DataCore SANsymphony : Conçu pour l’audit, pas seulement pour l’architecture
La plupart des plateformes de stockage ont été conçues avant que la conformité ne devienne un sujet lié au stockage. Les contrôles que les régulateurs exigent aujourd’hui ont été intégrés après coup, quand ils existent.
DataCore SANsymphony fait exception. Elle offre des points de récupération immuables et vérifiables par cryptographie, une protection continue des données et un indicateur de cyber-résilience en temps réel. Cela permet de fournir aux auditeurs une réponse chiffrée et documentée sur leur niveau de résilience, plutôt qu’un simple schéma technique.
Pour les organisations soumises à NIS-2, DORA, CER ou CIRCIA, cela change la donne car les preuves de conformité doivent être immédiatement disponibles lors des contrôles. SANsymphony permet d’intégrer ces preuves au cœur même de l’infrastructure, transformant le stockage en une source de résilience démontrable plutôt qu’en un système que les équipes de conformité doivent tant bien que mal justifier après coup.
