Object First vise à rendre l’invariabilité des sauvegardes accessible sans dépendre d’une configuration complexe ni de l’expérience de l’administrateur en place. Fondée en 2022 par Ratmir Timashev et Andrei Baranov, créateurs de Veeam, la société a développé une offre autour d’Ootbi, un appliance de stockage conçu exclusivement pour les environnements Veeam, avec pour objectif de protéger les sauvegardes contre les ransomwares, les erreurs internes et les menaces provenant de utilisateurs avec des privilèges élevés.
Le message commercial est ambitieux : « inaltérabilité absolue ». Concrètement, Object First affirme que les données stockées sur Ootbi ne peuvent pas être modifiées, supprimées ni chiffrées, même si un attaquant obtient des identifiants administratifs du système de sauvegarde. C’est une déclaration forte dans un secteur où de nombreux fournisseurs vantent la « copie inaltérable », mais où la véritable protection dépend souvent de la configuration du stockage, des accès administratifs et des voies alternatives pour supprimer ou altérer les données.
Pourquoi la sauvegarde est devenue une priorité pour les cyberattaques
Ce changement de fond a été impulsé par l’essor du ransomware. Pendant des années, beaucoup d’entreprises considéraient le stockage de leurs sauvegardes comme une étape secondaire : essentielle, mais peu intégrée au quotidien. Les baies de déduplication ont gagné du terrain car elles permettaient de stocker de gros volumes d’informations de façon compacte, même si la restauration complète pouvait être longue. Tant que les incidents étaient rares, cette contrainte semblait acceptable.
Mais le ransomware a bouleversé cette logique. Les attaquants ont compris que chiffrer uniquement l’environnement de production ne suffisait pas si l’organisation pouvait rapidement restaurer depuis des copies saines. Ils ont donc commencé à cibler, effacer ou chiffrer également les sauvegardes avant de lancer l’attaque principale. Si une entreprise découvre le problème lorsque ses systèmes productifs sont déjà bloqués et ses sauvegardes aussi compromises, ses capacités de récupération s’amenuisent considérablement.
À cela s’ajoute le risque interne. Un employé mécontent, un fournisseur avec des droits excessifs ou une compte privilégié piraté peuvent causer des dégâts en interne. Dans ces cas, la sécurité des sauvegardes ne peut se limiter à la seule confiance envers les utilisateurs administrateurs. Elle doit aussi limiter ce que même un administrateur peut faire.
Object First répond à cette problématique avec une architecture fermée et très ciblée. Contrairement aux solutions de stockage plus génériques, Ootbi est conçu uniquement pour Veeam. Cette décision réduit la flexibilité mais diminue également la surface d’attaque. Moins de protocoles, moins de cas d’utilisation et moins de couches à gérer signifient moins de points d’entrée possibles pour un attaquant.
Validé par des tiers, l’inaltérabilité vérifiée
Le point le plus sensible de la proposition réside dans la validation indépendante. Object First affirme que son inaltérabilité ne se limite pas à une simple étiquette marketing. L’entreprise fait réaliser des tests réguliers par NCC Group, un cabinet britannique spécialisé en cybersécurité. Selon les informations publiées par Techzine, NCC Group effectue des audits de pénétration tous les six mois, avec un accès complet au système, y compris au code source, et publie ses résultats sans que Object First puisse influencer le verdict.
Une des conclusions clés, citée dans les analyses sectorielles, est la suivante : même en connaissant tous les secrets du client, y compris ses identifiants d’administrateur et de bucket, les attaquants ne peuvent pas modifier les données à l’intérieur des appliances Ootbi. Cela ne signifie pas que tout l’écosystème de l’entreprise est automatiquement protégé. Le serveur Veeam, le réseau, les systèmes de production et les politiques de rétention doivent toujours être conçus avec une architecture de sécurité robuste. Toutefois, cette démarche renforce l’idée que le dépôt de sauvegardes peut être isolé face à certains attaques à fort impact.
Sur le plan technique, Object First combine plusieurs mesures. Notamment, l’accès root via le réseau est empêché : pour se connecter en root, la présence physique devant la machine (clavier et écran) est requise. De plus, un processus « huit yeux » est mis en place pour la suppression définitive des données : la validation nécessite l’approbation de deux personnes autorisées du client et de deux employés d’Object First, avec présence physique. L’objectif est d’éviter qu’une demande frauduleuse, une credential volée ou une manipulation d’ingénierie sociale conduise à la suppression de sauvegardes critiques.
En termes d’intégration, Ootbi s’appuie sur SOSAPI (Smart Object Storage API). Cette API permet à Veeam d’accéder au repository S3 compatible, de connaître l’état du système, d’appliquer des configurations d’inaltérabilité et de gérer efficacement l’espace de stockage. Object First indique que cette intégration permet d’activer inaltérabilité, équilibrage de charge et améliorations de performance sans configuration manuelle complexe.
Installation rapide et restitution en priorité
Un autre argument clé : la rapidité de déploiement. La société affirme qu’Ootbi peut être opérationnel en une quinzaine de minutes, du déballage à la première sauvegarde. Le processus consiste à connecter le courant et le réseau, configurer adresses IP et nom de cluster, générer des clés S3 via l’interface web, créer des buckets et configurer Veeam Backup Server pour qu’il pointe vers cette destination. L’inaltérabilité est active dès la première utilisation.
La simplicité est essentielle : de nombreux échecs de sauvegarde ne proviennent pas d’une mauvaise technologie, mais d’une mauvaise configuration. Des repositories Linux renforcés, des baies S3 compatibles, des permissions, des utilisateurs, des politiques de rétention et de verrouillage d’objets nécessitent une expertise et un entretien continu. Object First vise à délester le client de cette complexité en proposant un système préconfiguré, prêt à l’emploi pour un cas d’usage précis.
La performance est également un argument : chaque nœud Ootbi offre jusqu’à 2 Go/s de débit, avec une scalabilité linéaire en ajoutant des nœuds. Les clusters peuvent atteindre 7 Po via des repositories scale-out dans Veeam, visibles par l’administrateur comme un seul dépôt. Cette architecture facilite des restaurations rapides, y compris via la fonctionnalité Instant VM Recovery de Veeam.
Object First affirme pouvoir faire démarrer simultanément au moins 25 machines virtuelles directement à partir du stockage de backup via cette fonctionnalité. Contrairement aux appliances classiques de déduplication, cette solution évite le processus lourd de reconstruction de blocs comprimés lors de la restauration. Dans une situation d’incident où chaque heure de downtime coûte cher, cette rapidité est stratégique.
De plus, Object First étend cette solution aux environnements distribués. En octobre 2025, elle a présenté Ootbi Mini, une version compacte adaptée aux petites équipes ou aux sites distants, avec des capacités de 8, 16 ou 24 To. Elle conserve les mêmes garanties de sécurité et d’inaltérabilité mais dans un format adapté aux sites sans infrastructure IT locale dédiée.
Cette semaine, Object First a annoncé la disponibilité générale de Fleet Manager, un service cloud permettant la gestion centralisée des déploiements d’Ootbi, y compris pour la gamme Mini. La plateforme facilite l’administration depuis un seul point, un avantage pour les organisations multi-sites, les MSP ou les entreprises souhaitant une supervision globale de leur infrastructure de sauvegarde.
Les chiffres confirment que le marché a bien identifié la problématique : Object First a enregistré une croissance de +183 % de ses réservations en 2025, avec une forte croissance en Europe, notamment +515 % en EMEA d’une année sur l’autre. La demande cible principalement le mid-market et les secteurs où la récupération rapide et la sécurité des données sont cruciales, comme la santé, l’industrie, les services financiers ou les entreprises multi-sites.
Cette offre ne remplace pas une stratégie globale de résilience : la politique 3-2-1-1-0, les tests réguliers de restauration, la segmentation réseau, l’authentification multi-facteurs (MFA), le contrôle des privilèges, la sauvegarde hors ligne ou la réplication dans un autre site restent essentiels. Cependant, Object First vise une problématique précise : beaucoup d’organisations utilisent Veeam sans que leur stockage de sauvegarde soit aussi sécurisé que leur logiciel de sauvegarde.
L’émergence d’appliances comme Ootbi montre que le secteur de la sauvegarde évolue vers une priorité accrue : la récupération sécurisée. Moins de sauvegarde, plus de résilience : sauvegarder moins et comprimer davantage ne suffit plus. La question centrale est désormais : l’entreprise pourra-t-elle restaurer ses systèmes lorsque le cyberattaquant aura cherché à détruire les copies ?
Questions fréquentes
Qu’est-ce qu’Object First Ootbi ?
Un appliance de stockage de sauvegarde conçu exclusivement pour Veeam. Son nom provient de « Out-of-the-Box Immutability » et il vise à offrir un stockage S3 inaltérable dès la première mise en service.
Que signifie « inaltérabilité absolue » ?
Object First indique que ses systèmes empêchent toute modification, suppression ou chiffrement des données, même en cas de détention de droits administratifs. Cette affirmation est corroborée par des audits réguliers de NCC Group.
Ootbi remplace-t-il Veeam ?
Non. Ootbi ne remplace pas le logiciel de sauvegarde Veeam. Il sert d’espace de stockage inaltérable optimisé pour Veeam Backup & Replication.
Pour qui est destiné Ootbi Mini ?
Ootbi Mini vise les petites agences, les sites distants ou les environnements edge nécessitant une sauvegarde locale inaltérable, sans déployer une infrastructure complexe.
