Depuis des années, l’industrie de la cybersécurité répète un mantra : il ne s’agit pas de savoir si une organisation sera attaquée, mais quand. Cependant, en 2025, une nouvelle tendance émerge fortement auprès des équipes IT : il ne suffit plus de pouvoir récupérer les données, encore faut-il que le processus de récupération lui-même ne devienne pas la faiblesse du système. En effet, dans de nombreux incidents, l’attaquant n’entre pas de manière brutale ; il se sert de crédentiels, souvent avec des privilèges élevés, et opère en toute sérénité, comme s’il disposait d’une clé légitime.

Dans ce contexte, Commvault (NASDAQ : CVLT) a annoncé le 11 décembre 2025 un partenariat stratégique avec Delinea, spécialiste en gestion des accès privilégiés (PAM). Cet accord se traduit par une intégration technologique reliant Commvault Cloud à Secret Server de Delinea. La promesse est claire : aider les clients à renforcer la sécurité des identifiants liés aux environnements de sauvegarde et de récupération, faciliter la conformité réglementaire, et réduire la friction opérationnelle dans un domaine où les erreurs ont un coût élevé.

L’« identité » comme nouveau périmètre : l’attaquant n’a plus besoin de briser la porte

En 2024, selon les chiffres cités dans l’annonce, près d’un tiers des incidents de sécurité (33 %) étaient liés à des identités privilégiées compromises. Ce chiffre synthétise une réalité préoccupante : lorsqu’un attaquant parvient à obtenir un compte avec des autorisations élevées — ou à l’escalader — la défense ne tourne plus uniquement autour du pare-feu ou de l’EDR, mais dépend désormais du contrôle de l’accès, de la durée de celui-ci, et des traces laissées.

Ce problème s’est aggravé en raison d’un phénomène moins visible pour le grand public, mais quotidien pour les équipes techniques : la prolifération des identités non humaines. Il s’agit de crédentiels pour des applications, scripts, pipelines ou services automatisés assurant le fonctionnement de processus critiques. La majorité d’entre elles sont créées par nécessité, beaucoup sont maintenues par inertie, et un certain nombre se retrouvent avec des permissions supérieures à celles nécessaires. Dans les environnements de sauvegarde, ces crédentiels ont souvent un accès étendu pour lire, copier, déplacer ou restaurer des données. Un tel pouvoir, mal contrôlé, transforme la capacité de récupération de l’entreprise — son « plan B » — en une cible privilégiée.

Car le cybercriminel moderne ne se contente pas de chiffrer. Il cherche aussi à supprimer des copies, saboter des restaurations ou à introduire une persistance dans les systèmes censés sauver l’activité en cas de crise.

Ce qui change avec l’intégration : crédentiels moins exposés et contrôle renforcé de l’accès

L’intégration entre Commvault Cloud et Delinea Secret Server vise un enjeu crucial : éviter que les crédentiels de sauvegarde ne vivent trop longtemps, qu’ils soient trop dispersés ou gérés via des méthodes manuelles difficiles à auditer. Selon les deux entreprises, la technologie conjointe introduit trois niveaux de contrôle visant à : réduire les privilèges permanents et augmenter la traçabilité.

1) Gestion centralisée et rotation des crédentiels

Un des défis classiques dans les grandes organisations est la coexistence d’un « écosystème parallèle » : comptes de service pour accéder aux référentiels, crédentiels pour exécuter des jobs, accès pour restaurer, clés pour automatiser… Au fil du temps, certains de ces accès se dupliquent, d’autres deviennent orphelins, et certains sont maintenus par crainte de briser des processus.

L’intégration vise à centraliser cette pagaille dans un coffre-fort (secrets vault), où stocker, gouverner et faire tourner ces crédentiels de façon contrôlée. Le message est clair : moins de complexité, moins de comptes oubliés qui deviennent autant de points d’entrée potentiels pour les intrus.

2) Accès Just-in-Time pour chaque opération de sauvegarde ou restauration

Le deuxième pilier est la démarche Just-in-Time (JIT) : générer des crédentiels temporaires pour chaque opération, puis révoquer l’accès à leur terminaison. Il s’agit d’une véritable révolution mentale. Au lieu d’une « compte avec privilèges en permanence », on privilégie des crédentiels éphémères qui n’existent que le temps strictement nécessaire.

Dans un contexte où les attaquants recherchent la persistance, cette réduction de la fenêtre d’opportunité peut faire toute la différence. Si la crédentielle n’est pas présente lorsque l’attaquant la cherche, l’attaque devient plus difficile. De plus, si le système enregistre chaque émission et révocation, le contrôle devient d’autant plus précis.

3) Audit et principe du moindre privilège pour une conformité sans improvisation

Le troisième axe concerne l’audit et la conformité : appliquer le principe du moindre privilège (seul ce qui est nécessaire, quand c’est nécessaire) et disposer d’enregistrements détaillés permettant de démontrer le contrôle. L’annonce mentionne explicitement le support aux initiatives de conformité, souvent prioritaires pour les grandes entreprises et les secteurs réglementés, comme SOX, HIPAA, PCI-DSS ou le RGPD.

Ce n’est pas qu’une question de « documents ». En pratique, beaucoup d’organisations doivent justifier lors d’audits qui accède à quoi, pourquoi, et pour combien de temps. Lorsque le processus de sauvegarde est critique et complexe, la traçabilité devient une exigence incontournable pour garantir la sécurité et la sérénité.

Une approche intégrée : continuité des activités et sécurité de l’identité

Chez Commvault, la narration tourne autour de la « résilience unifiée » : combiner sécurité des données, résilience de l’identité et cyber-récupération dans une plateforme unique. Le message suggère que la récupération ne doit pas être une activité isolée, mais faire partie d’une discipline intégrée à la sécurité, à l’identité et à l’exploitation quotidienne.

Delinea, de son côté, insiste sur une idée fondamentale : la cyberrésilience dépend autant de la capacité à récupérer que de la fiabilité de cette récupération. En cas d’incident réel, le pire scénario reste de découvrir que les copies existent, mais que l’attaquant a également la clé pour les manipuler.

C’est cette crainte silencieuse qui hante bon nombre de responsables de la sécurité informatique : que l’attaquant parvienne à devancer l’équipe de réponse en atteignant le système de récupération en premier. Par conséquent, toute avancée dans la sécurisation des crédentiels en environnement backup apparaît comme une amélioration essentielle du plan de continuité.

Une solution disponible à l’échelle mondiale, sans coût additionnel pour les clients conjoints

La nouvelle intégration est proposée à l’échelle mondiale, pour les clients utilisant les deux solutions, et selon les informations communiquées, sans coût supplémentaire. C’est un point crucial dans un marché où beaucoup d’intégrations aboutissent à des modules additionnels, des licences séparées ou de longs projets de consultation.

Il semble que l’objectif soit d’accélérer l’adoption : plus tôt les contrôles PAM seront intégrés dans le flux de sauvegarde et de restauration, plus tôt on réduira le risque qu’une crédentielle mal gérée ne transforme la récupération en un point faible critique.

Une conclusion claire : la sauvegarde n’est plus seulement une capacité, mais une question de confiance

Depuis plusieurs années, la discussion sur la sauvegarde se concentrait sur la capacité de stockage, la rapidité de récupération, la déduplication ou l’immutabilité. Ces éléments restent cruciaux. Mais le contexte actuel pose une question tout aussi essentielle : qui peut toucher ces copies ?

Le partenariat entre Commvault et Delinea répond à cette interrogation. Dans le monde réel, la résilience se mesure à la capacité de se relever après une attaque. Dans cette optique, la gestion des crédentiels — humaines et machine — devient une décision stratégique capitale pour l’IT moderne.

Questions fréquentes

Pourquoi les attaques basées sur des crédentiels sont-elles particulièrement dangereuses dans les environnements de sauvegarde ?
Parce que si un attaquant obtient des crédentiels avec des privilèges, il peut saboter les sauvegardes, empêcher les restaurations ou manipuler le processus de récupération sans déclencher autant d’alertes qu’un attaque bruyante.

Que signifie appliquer un accès Just-in-Time lors des opérations de sauvegarde et restauration ?
Cela consiste à générer des crédentiels temporaires pour chaque opération, puis à révoquer l’accès dès leur terminaison, limitant ainsi la fenêtre d’exposition et le risque d’abus.

Quelles sont les identités non humaines et pourquoi sont-elles préoccupantes en cybersécurité d’entreprise ?
Ce sont des crédentiels pour services, applications et automatisations. Leur croissance rapide, leur contrôle parfois déficient, et leurs permissions excessives en font une cible privilégiée pour les cybercriminels.

Comment un système de gestion de secrets aide-t-il à respecter le RGPD lors des processus de récupération de données ?
Il facilite l’application du principe du moindre privilège, la rotation des crédentiels et la traçabilité des accès, renforçant ainsi le contrôle sur qui accède aux données personnelles lors des opérations critiques comme la sauvegarde ou la restauration.

source : Actualités sécurité