OneDrive et Google Drive : comment annuler une suppression massive ou un chiffrement par ransomware en 2026

La suppression massive de fichiers ou leur chiffrement par ransomware dans un espace de stockage cloud n’est plus un scénario exceptionnel. En 2026, Microsoft OneDrive et Google Drive intègrent des outils de récupération permettant de restaurer des fichiers, de rétablir un compte à un état antérieur et de neutraliser les effets d’un chiffrement malveillant sans céder aux exigences des attaquants. L’essentiel est de comprendre précisément le fonctionnement de l’historique des versions, de la corbeille et des points de restauration au niveau du compte. Ce guide explique, étape par étape, comment récupérer vos données en toute sécurité et quelles limites doivent être prises en compte avant d’effectuer un retour en arrière.

Comment le stockage cloud gère les suppressions et les ransomwares

Lorsqu’un fichier est supprimé dans OneDrive ou Google Drive, il n’est pas effacé immédiatement du système. Les deux services le déplacent vers une corbeille (Corbeille OneDrive, Corbeille Google Drive), où il reste disponible pendant une période de rétention limitée. En 2026, la durée standard est d’environ 30 jours pour les comptes personnels, tandis que les environnements professionnels peuvent prolonger ce délai selon les politiques administratives en place.

Les attaques par ransomware chiffrent généralement les fichiers sur l’appareil local en premier. Comme les clients cloud synchronisent automatiquement les modifications, les copies chiffrées sont ensuite envoyées vers le cloud et remplacent les versions d’origine. Toutefois, les versions précédentes ne sont pas immédiatement détruites. Les deux services conservent un historique des versions permettant de restaurer des copies antérieures non chiffrées.

Le facteur déterminant reste le temps. Si les quotas de stockage sont dépassés ou si la période de rétention expire, les anciennes versions peuvent être supprimées définitivement. Une réaction rapide dès la détection d’une activité inhabituelle augmente considérablement les chances de récupération.

Comprendre l’historique des versions et les points de restauration

L’historique des versions fonctionne au niveau de chaque fichier. À chaque modification synchronisée, une copie précédente est enregistrée. Dans OneDrive associé à Microsoft 365, l’historique des versions est activé par défaut et peut conserver un grand nombre de versions selon la configuration définie par l’administrateur. Google Drive conserve également les versions pour les fichiers Docs, Sheets, Slides ainsi que pour la majorité des fichiers importés.

Les points de restauration agissent au niveau du compte. OneDrive propose une fonctionnalité intitulée « Restaurer votre OneDrive », permettant de revenir à un état antérieur dans la limite des 30 derniers jours. Les administrateurs Google Workspace peuvent, via la console d’administration, restaurer les données Drive d’un utilisateur sur une période autorisée.

En cas d’attaque massive, la restauration complète du compte est souvent plus rapide que la récupération manuelle fichier par fichier, notamment lorsque des centaines d’éléments ont été affectés en peu de temps.

Restaurer des fichiers dans OneDrive après une suppression ou un chiffrement

En cas de suppression, ouvrez OneDrive dans un navigateur et accédez à la Corbeille. Examinez attentivement les éléments disponibles et sélectionnez ceux à restaurer. Les fichiers récupérés sont replacés dans leur dossier d’origine avec leurs métadonnées intactes.

En cas de chiffrement par ransomware, localisez un fichier compromis, cliquez dessus avec le bouton droit et choisissez « Historique des versions ». Identifiez une version antérieure à l’attaque et restaurez-la. Cette opération peut être répétée pour plusieurs fichiers, bien que cela puisse prendre du temps si l’incident est étendu.

Pour un incident à grande échelle, utilisez la fonction « Restaurer votre OneDrive » disponible dans les paramètres du compte. Sélectionnez une date antérieure à l’attaque. Une chronologie des activités, incluant suppressions massives ou modifications anormales, sera affichée. La confirmation rétablira l’ensemble du stockage à l’état choisi.

Récupération administrative dans les environnements Microsoft 365

Dans un contexte professionnel, les administrateurs Microsoft 365 disposent de contrôles supplémentaires via le centre d’administration SharePoint. OneDrive Entreprise reposant sur l’infrastructure SharePoint, il est possible de restaurer des collections de sites complètes si nécessaire.

Les stratégies de conservation et les mises en conservation légale configurées à l’avance constituent une protection additionnelle. Même si un utilisateur supprime définitivement des fichiers, leur contenu peut rester accessible via les outils de conformité.

En 2026, Microsoft Defender pour Office 365 intègre également des signaux de détection de ransomware. En cas d’activité suspecte, des alertes sont générées, permettant une intervention rapide avant l’expiration des délais de rétention.

Restaurer des fichiers dans Google Drive après suppression ou ransomware

Dans Google Drive, commencez par la Corbeille. Les fichiers supprimés y restent jusqu’à 30 jours pour les comptes standards. Les administrateurs Workspace peuvent disposer de capacités étendues selon les paramètres organisationnels.

Pour des fichiers chiffrés, ouvrez l’élément concerné, sélectionnez « Fichier », puis « Historique des versions ». Les fichiers au format Google affichent un historique détaillé avec les modifications identifiées. Les fichiers importés, tels que PDF ou documents Office, peuvent également être restaurés si l’historique des versions était actif.

Si un grand nombre de fichiers est impacté, les administrateurs Google Workspace peuvent restaurer les données Drive d’un utilisateur via la console d’administration. Cette action permet de récupérer les données d’une date précise dans la fenêtre autorisée et constitue généralement la méthode la plus efficace pour un incident étendu.

Limites, délais et bonnes pratiques

La récupération n’est pas illimitée. Les comptes Google personnels offrent généralement une fenêtre de récupération de 25 à 30 jours. Au-delà, les fichiers supprimés peuvent devenir irrécupérables. Les environnements Workspace peuvent prolonger cette période grâce à des règles de conservation, à condition qu’elles aient été configurées avant l’incident.

L’historique des versions ne protège pas contre toutes les menaces. Si le ransomware reste actif et continue à synchroniser des fichiers chiffrés après une restauration, il est impératif de nettoyer les appareils locaux avant toute nouvelle synchronisation. Déconnectez l’ordinateur concerné et éliminez le logiciel malveillant avant de restaurer les données cloud.

À titre préventif, activez l’authentification multifacteur, vérifiez régulièrement les accès des applications tierces et maintenez une sauvegarde hors ligne complémentaire. La gestion des versions dans le cloud est un outil puissant, mais une stratégie de sécurité en couches reste la meilleure protection contre la perte de données en 2026.