Depuis des années, les sauvegardes sont notre dernier rempart lorsque tout échoue. Mais, à l’ère du ransomware et des logiciels malveillants polymorphes, elles sont aussi devenues un refuge silencieux : des menaces non détectées à temps peuvent rester enfouies dans des données historiques et ressurgir au moment précis où une organisation tente de restaurer ses systèmes critiques. C’est cette « zone d’ombre » que Cohesity souhaite combler avec sa dernière mise à jour.

Le 5 février 2026, Cohesity a annoncé une amélioration significative de ses capacités de protection au sein de Cohesity Data Cloud, intégrant des informations contextuelles provenant de Google Threat Intelligence et ajoutant des analyses en sandbox soutenues par Google Private Scanning. L’objectif déclaré est que les équipes puissent identifier, analyser et éradiquer les malwares avant la restauration, évitant ainsi une réinfection et réduisant les risques de réintroduire des fichiers malveillants en pleine phase critique : la récupération.

Pourquoi les sauvegardes sont devenues un enjeu de sécurité (au-delà d’une simple solution)

Ce changement de mentalité est majeur. Traditionnellement, la sécurité des sauvegardes reposait sur des analyses « a posteriori », des outils externes, des signatures statiques et des processus manuels. Cependant, selon la vision de Cohesity, cette approche est insuffisante face à des attaquants adoptant une stratégie à long terme : campagnes « low-and-slow », intrusions persistantes, compromissions en chaîne dans la supply chain, et logiciels malveillants évolutifs pour contourner les signatures classiques.

En pratique, le risque est double. D’un côté, un fichier infecté restauré à partir d’une copie historique peut réinfecter des systèmes déjà nettoyés. De l’autre, la sauvegarde peut contenir des preuves précieuses d’une intrusion prolongée qui est passée inaperçue à l’origine. La proposition de Cohesity est que ces evidences ne devraient pas rester « hors du radar » des équipes de sécurité pendant un incident.

Intelligence sur les menaces intégrée à la console : contexte sans basculement entre outils

La première innovation est l’intégration de Google Threat Intelligence dans l’interface de Cohesity Data Cloud. La message est clair : moins de transferts, moins d’écrans, plus de contexte au même endroit où se prennent les décisions de récupération.

Selon la société, ces capacités intégrées permettent de consulter les indicateurs de compromission (IOCs), les données de réputation et les détails concernant les menaces sans changer de plateforme. De plus, Cohesity souligne que ces insights intègrent également les analyses de Mandiant, unité de réponse et d’intelligence aux incidents intégrée à l’écosystème Google, apportant ainsi un « contexte d’enquête » enrichi aux découvertes.

En mots du responsable produit de Cohesity, Vasu Murthy : « Le problème principal est que les malwares dissimulés dans les sauvegardes peuvent non seulement réinfecter, mais aussi révéler des attaques qui « échappent à la détection traditionnelle » si elles sont analysées avec les outils adéquats au bon moment. »

La grande avancée : détecter et analyser les fichiers suspects dans un sandbox privé avant de restaurer

La seconde innovation — et sans doute la plus marquante — concerne l’analyse en sandbox sécurisé grâce à Google Private Scanning. L’idée : lorsqu’un fichier suspect est identifié, l’équipe peut le faire fonctionner dans un environnement isolé et observer son comportement sans mettre en danger l’infrastructure de production ni la phase de restauration.

Cohesity affirme que cette méthode permet d’obtenir une analyse comportementale approfondie : changements dans le système, activité réseau, modifications dans le registre et autres indicateurs de charge utile malveillante. La promesse est que cela donne aux responsables de la restauration une base plus fiable pour décider s’ils restaurent, bloquent ou isolent un ensemble de données. Tout cela, en insistant sur la confidentialité et la souveraineté des données, puisque l’analyse se fait dans un cadre de « scan privé ».

Sur le plan opérationnel, cette capacité s’inscrit dans la couche de la cyberrésilience, et non comme un service distinct réservé au SEC. Autrement dit, il s’agit d’amener les « outils de pointe » —habituellement utilisés lors de réponses à incident— au cœur de la décision de relancer un système ou de le laisser compromis.

Les bénéfices annoncés : rapidité, coordination et résilience « sans complexité supplémentaire »

Le communiqué synthétise l’impact autour de quatre axes : une identification et une remédiation plus rapides ; des insights exploitables grâce à la détection en sandbox ; une collaboration accrue entre les équipes IT et sécurité avec une vision partagée de l’intelligence ; et un renforcement de la cyberrésilience en réduisant le risque de restaurations contaminées.

Au-delà du simple listing, l’idée maîtresse dans les incidents graves reste la même : le temps de récupération ne se limite pas à l’RTO et à l’RPO. C’est aussi une question de confiance. Récupérer rapidement n’a que peu de valeur si la restauration n’est pas fiable.

De Google Cloud, Miton Adhikari (responsable des alliances OEM en sécurité) insiste précisément sur ce point : les attaquants dissimulent des charge malveillantes dans des endroits que les outils traditionnels ne sondent pas, y compris dans les sauvegardes. L’intégration vise à aider les organisations à voir ce que d’autres ne voient pas et à récupérer plus vite tout en étant plus sûres.

FortKnox et la logique du « cyber coffre-fort » : une copie isolée pour le pire jour

Ces innovations s’inscrivent dans une feuille de route plus large entre Cohesity et Google Cloud. Cohesity rappelle que sa collaboration avec Google s’est étendue à la mi-décembre, incluant des initiatives pour renforcer la résilience et la disponibilité sur Google Cloud.

Dans ce cadre apparaît Cohesity FortKnox, décrit comme une solution de « cyber vault » gérée, conservant une copie isolée (air-gapped) des données critiques pour assurer des restaurations exemptes d’infections même si le système principal ou les sauvegardes classiques sont compromis. Cohesity précise que FortKnox est accessible via Google Cloud, permettant ainsi d’assurer un dernier rempart où l’isolation et l’immuabilité sont essentielles lorsque tout le reste a échoué.

Disponibilité : déjà en production et aussi accessible via le Marketplace

Cohesity indique que l’intégration de Google Threat Intelligence ainsi que l’analyse en sandbox sont déployées en production dans Cohesity Data Cloud. La solution est également disponible sur le Google Cloud Marketplace, facilitant son adoption par les organisations ayant déjà intégré une partie de leur résilience ou de leurs charges dans cet environnement.

Questions fréquentes

Pourquoi un malware peut-il rester caché dans des sauvegardes historiques même si le système est désormais clean ?
Car les sauvegardes capturent une « photo » du passé. Si l’infection était présente au moment de la sauvegarde, elle peut persister stockée et ressurgir lors de la restauration, notamment dans le cas d’attaques persistantes et « low-and-slow ».

En quoi consiste un sandbox privé pour analyser la charge malveillante avant la restauration d’un backup ?
Il permet de faire fonctionner une copie du fichier suspect dans un environnement isolé pour observer son comportement (activité réseau, modifications du système, etc.) avant de le réintroduire dans la production, renforçant ainsi la fiabilité de la récupération.

Quel apport fournit Google Threat Intelligence (incluant Mandiant) dans Cohesity Data Cloud ?
Il offre un contexte et une connaissance approfondie des menaces dans la même console : IOC, réputation et détails d’enquête pour accélérer la prise de décision entre IT et sécurité, sans dépendre de processus manuels.

Qu’est-ce qu’un « cyber vault » air-gapped comme FortKnox et quand est-ce pertinent ?
C’est une sauvegarde isolée conçue pour conserver une copie immuable et séparée des systèmes vulnérables. Elle est utilisée pour garantir une restauration propre dans des scénarios extrêmes, tels que le ransomware ciblant systématiquement les systèmes principaux et les sauvegardes conventionnelles.

Source : cohesity