Introduction
Les sauvegardes ont longtemps été présentées comme la dernière ligne de défense face aux ransomwares. La logique semblait solide : même si un attaquant parvenait à chiffrer les données de production, il buterait sur une copie saine, hors de portée. Les groupes cybercriminels ont compris cette logique bien avant la majorité des équipes IT — et c'est précisément pour cette raison qu'ils s'en prennent désormais aux serveurs de sauvegarde en priorité.
La faille critique divulguée dans Veeam Backup & Replication le 9 juin 2026 illustre avec une clarté brutale à quel point cette infrastructure est devenue une cible stratégique.
Une exécution de code à distance accessible à presque n'importe qui
Répertoriée sous l'identifiant CVE-2026-44963, la vulnérabilité affecte toutes les builds de Veeam Backup & Replication v12 antérieures à la version 12.3.2.4854. Avec un score CVSS v4 de 9.4, elle se place parmi les failles les plus sévères de l'année : elle permet à n'importe quel utilisateur de domaine Windows, sans privilèges élevés, d'exécuter du code arbitraire sur le serveur de sauvegarde.
La condition d'exploitation est minimale. L'installation doit simplement être jointe à un domaine Windows — configuration par défaut dans la très grande majorité des environnements d'entreprise. Un compte employé ordinaire, un accès prestataire ou un identifiant compromis suffisent à déclencher l'attaque. La faille a été découverte par le chercheur Sina Kheirkhah de WatchTowr et divulguée le jour même où Veeam publiait son correctif d'urgence. Les installations en version 13.x ne sont pas concernées : des modifications architecturales profondes introduites dans cette branche ont de facto éliminé ce vecteur d'attaque.
Pourquoi le serveur de sauvegarde est devenu une cible prioritaire
Veeam Backup & Replication est déployé chez plus de 550 000 organisations dans le monde, dont une large part de grandes entreprises du Fortune 500 et du Global 2000. Sa popularité en fait une cible de choix pour des groupes comme Akira ou Fog, qui ont considérablement affiné leur tactique ces dernières années.
Plutôt que de chiffrer d'emblée les systèmes de production, ces attaquants compromettent en priorité l'infrastructure de sauvegarde. La stratégie est doublement efficace : supprimer les copies de restauration pour priver la victime de toute alternative au paiement, et exploiter le serveur Veeam comme point de pivot pour se déplacer latéralement dans le réseau. Une fois ce serveur sous contrôle, le plan de reprise d'activité devient inopérant. La question ne se pose plus de savoir si les données seront récupérées, mais à quel prix.
Ce qu'il faut faire maintenant
La priorité immédiate est sans ambiguïté : toute organisation sous Veeam Backup & Replication v12 dans un environnement de domaine doit déployer la mise à jour 12.3.2.4854 sans délai. Veeam le rappelle explicitement : les acteurs malveillants développent des exploits fonctionnels très rapidement après la publication d'un correctif.
Au-delà du patch, cet incident est une occasion de reposer des questions de fond sur la sécurité de l'infrastructure de sauvegarde :
- Les comptes de domaine ayant accès à la console Veeam sont-ils soumis au principe du moindre privilège ?
- Le serveur de sauvegarde bénéficie-t-il d'une surveillance des accès et d'une journalisation active ?
- La migration vers la v13 est-elle inscrite dans la roadmap IT à court terme ?
La sauvegarde, un actif de sécurité à part entière
Cette faille Veeam confirme une réalité que les équipes sécurité connaissent, mais que les arbitrages budgétaires tardent parfois à intégrer : protéger l'infrastructure de sauvegarde exige le même niveau d'attention que protéger les systèmes de production. Un serveur de sauvegarde mal sécurisé ne constitue plus un filet de sécurité — il devient lui-même un vecteur d'attaque.