Interview de Bastien Bobe Security Field CTO - Commvault

/

Interview réalisée par Alain Establier lors des Assises de la Cybersécurité 2025

SDBR News: A ma connaissance, Commvault* est un acteur historique de la sauvegarde et du backup. Quel rapport avec la cybersécurité ?

Bastien Bobe: C’est exactement le point que j’ai soulevé dès notre première discussion : le backup, c’est bien; la restauration, c’est mieux. Et la restauration rapide et fiable est au cœur de la cybersécurité moderne. Depuis trois ans, Commvault a engagé un virage baptisé “shift” qui nous fait passer du monde de la sauvegarde à celui de la cyber‑résilience, un terme qui résume notre approche actuelle. Concrètement, nous exploitons les données que nous avons toujours dupliquées, quels que soient les flux, les machines, les sources ou les environnements, on‑premise comme cloud, pour garantir la continuité et la reprise après incident. Aujourd’hui, j’occupe le poste de CTO, en charge des nouvelles technologies de sécurité.

SDBR News: Stocker les données et les restaurer, c’est bien. Mais en situation de crise, en « disaster recovery »?

Bastien Bobe: Nous avons 3 types de « recovery », de récupération des données :

  • L’operational recovery : si le collaborateur a perdu son email ou son fichier, nous lui remettons exactement son email là où il était.

  • Le disaster recovery qui est la capacité à reconstruire un site ou à repartir sur un autre site. Exemple : vous avez un site A et vous avez un site B. Vous prenez le site A et vous le mettez sur le site B ; ça marche et c'est facile.

  • Et puis le troisième, c'est le cyber recovery : vous ne savez pas ce que vous avez sur le site A et vous ne voulez surtout pas infecter votre site B… Et vous ne savez pas forcément comment redémarrer votre système.

Le métier de Commvault aujourd'hui, ce n'est plus juste de faire du backup, mais c'est d'accompagner les équipes sur la restauration des données, notamment en cas de crise cyber.

SDBR News: Ce que vous appelez « disaster recovery » n’est-il pas un terme trompeur?

Bastien Bobe: Nous faisons toujours du disaster recovery évidemment, car c'est quand même la base du backup. Mais en cas de crise cyber, il faut être capable de reconstruire des données de production, rapidement et sainement. C'est surtout sainement le bon terme. Sainement, parce que remettre un backup compromis en circulation, c'est facile globalement. Mais si le backup est compromis, souvent cela veut dire que l'AD (Active Directory) a été compromis, car la solution de backup est rattachée à l'AD. C'est un peu le serpent qui se mord la queue. Donc je ne parle pas de produits, je parle plutôt de stratégie, l'idée étant d'être capable d'analyser et d'entraîner les équipes à reconstruire sainement.

SDBR News: Concrètement, que proposez-vous?

Bastien Bobe: Nous avons une plateforme, que nous nommons « Cleanroom » et que le Gartner désigne sous l’acronyme IRE - « Isolated Recovery Environment ». C'est un environnement de recouvrement isolé, donc sain théoriquement. En fait, il n'existe pas au moment de l’attaque et c'est pour cela qu'il est sain. Il ne fonctionne que dans le Cloud, mais on peut le fournir « on-premise » à condition d’avoir un environnement sain à demeure, qui ne sert qu'à cela et qui n'est jamais connecté à l’environnement principal, mais qu’il faut pour autant mettre à jour régulièrement. C'est très coûteux, mais techniquement possible. Par exemple, pour les clients du monde de la Défense, nous savons  faire du « on-premise », du « dark site », de la « recovery », du « cyber recovery » en dark site, en cloud public sur Azure ou AWS, ou encore sur un cloud privé.

SDBR News: Et ensuite?

Bastien Bobe: Nous allons pouvoir utiliser cet environnement selon différents scénarios. Le premier, pour entraîner les équipes. Après avoir défini les applications minimum nécessaires et vitales en cas de cyberattaque (20 à 30 applications), vous définissez un front-end, un back-end, une base de données et du réseau ; vous faites des groupes d'applications, des groupes de workloads ; vous les mettez dans cet environnement-là, complètement isolés, et vous regardez si ça marche. La première fois ça ne va pas marcher, car vous avez oublié une machine, un SAN (storage area network - réseau de stockage), un ordre de stockage, une machine tierce avec laquelle elle discute, etc. L'idée est d'entraîner les équipes à faire que ça marche, surtout en « cyber recovery » dans une situation chaotique. Plus c’est testé, plus grande est la garantie que ça marchera en cas de nécessité, comme pour le « disaster recovery » plan (DCP) ou plan de reprise d’activité testé une fois par an dans les entreprises.

SDBR News: Donc Commvault participe à ce plan de continuité ?

Bastien Bobe: Il faut un plan de cyber-résilience ou de cyber-recovery, dédié à la reconstruction de l'environnement en cas de crise cyber. Donc cet IRE, cet environnement Clean Room qui est sain mais qui n'existe pas en fait, nous allons l'utiliser pour tester que les backups vont fonctionner et surtout pour entraîner les équipes. Dans cet environnement, même si vous y remettez des données compromises, vous allez pouvoir les désinfecter, les rendre saines et recommencer autant de fois que nécessaires. Le but est d’essayer de trouver une version saine des données de l’entreprise, même avec des données chiffrées pour essayer de reconstruire la production sainement. Le plus important étant de ne pas remettre en circulation des données corrompues. Une entreprise ayant la maturité de la cyber-résilience peut repartir globalement en quelques heures. Contrairement au groupe Jaguar Land Rover, où il est question de 2 à 3 mois d’arrêt de production, ou par rapport à ce que nous observons dans des environnements non-résilients à savoir 24 jours d'interruption de service en cas d'attaque civile, ce qui est déjà très long.

Si ces entreprises s'étaient entraînées à restaurer sainement, elles seraient reparties en une semaine, peut-être même trois jours, un week-end. Nous avons des clients qui se font attaquer tous les jours, mais ils repartent. Les clients qui ne font que du backup, que du stockage, ne sont pas résilients.

SDBR News: Tous vos clients ont-il un plan de continuité ?

Bastien Bobe: Il y a les clients qui nous ont suivis dans cette transition, qui ont mis en place les solutions, l'architecture de backup et de restauration et qui ont entraîné leurs équipes. Un tiers de nos clients sont résilients aujourd'hui.

Commvault, à la base, était une boîte de backup mais, aujourd'hui, elle est devenue une entreprise de cybersécurité. Nous sommes de plus en plus considérés par les acteurs du marché (SSII etc.) comme un outil, un plan B qui marche plutôt bien. Or même les entreprises les mieux protégées, qui se font attaquer quotidiennement, subissent environ un incident cyber majeur par an…

SDBR News: Comment Commvault est-elle devenue l’entreprise que vous me décrivez?

Bastien Bobe: L’évolution a commencé il y a 3 ans, mais surtout en août 2025 avec le rachat et l’intégration de la jeune société israélienne « Satori Cyber » spécialisée d’une part dans la gestion de la posture de sécurité des données, la DSPM - Data Security Posture Management – c'est-à-dire la gestion des rôles pour accéder aux données, notamment dans les bases de données. Et d’autre part, dans la gestion des rôles dans les IA, moteur de machine-learning, pour avoir un moteur de machine-learning unifié. C’est une spécificité qui intéresse beaucoup le monde de la Défense. Là, nous sommes vraiment sur le métier de la cyberprotection et sur la notion de protection des données.

J’ai travaillé 25 ans dans la prévention et la protection des menaces de haut niveau et, lorsque les gens de Commvault m'ont raconté leur histoire, j'ai trouvé qu’elle avait du sens car, effectivement, le plan A dont je parle depuis 25 ans, bien des fois ne marche pas. Donc je suis venu pour un plan B qui fonctionne.

*https://www.commvault.com