Sauvegarde des données en entreprise : la stratégie 3-2-1
La sauvegarde des données en entreprise repose sur la règle 3-2-1 : trois copies de vos données, sur deux supports différents, dont une copie hors site. Cette méthode protège contre les pannes, les erreurs humaines et les ransomwares. En 2025, l’ANSSI a recensé 128 compromissions par rançongiciel, dont 48 % visaient des PME, TPE et ETI.
La règle 3-2-1 expliquée simplement
La règle 3-2-1 structure une stratégie de sauvegarde fiable autour de trois chiffres faciles à retenir. Le photographe Peter Krogh l’a popularisée, et l’ANSSI comme le CERT-FR la citent désormais comme socle de référence.
Voici ce que recouvre chaque chiffre :
- 3 copies : l’original en production plus deux sauvegardes distinctes. Une seule copie de secours suffit rarement, car elle peut échouer au moment précis où vous en avez besoin.
- 2 supports : stockez ces copies sur deux types de média différents (disque dur, NAS, cloud, bande LTO). Un défaut affectant un type de support n’atteint pas l’autre.
- 1 hors site : au moins une copie quitte physiquement vos locaux. Un incendie, un dégât des eaux ou un cambriolage qui détruit le serveur ne touche pas la copie distante.
L’intérêt de cette répartition tient à la diversité des risques. Une panne de disque, une suppression accidentelle, un sinistre dans vos murs et une attaque informatique ne se neutralisent qu’avec des copies indépendantes les unes des autres. Multiplier les copies au même endroit, sur le même type de support, ne protège de rien : un seul événement les emporte toutes.
Le coût d’une perte de données justifie cet effort. Le coût moyen d’une cyberattaque pour une PME française avoisine 130 000 euros, selon le rapport Hiscox. Une partie de ce montant disparaît dès lors qu’une restauration propre devient possible en quelques heures. L’ANSSI a par ailleurs traité 1 366 incidents de sécurité confirmés en 2025, preuve que le risque touche des structures de toutes tailles, pas seulement les grands groupes.
Pourquoi le 3-2-1 ne suffit plus face aux ransomwares
Les rançongiciels ont changé de cible. Ils ne se contentent plus de chiffrer la production : ils s’attaquent d’abord aux sauvegardes, car une entreprise qui peut restaurer ne paie pas.
Les chiffres confirment cette bascule. Le rapport Veeam 2025 sur les tendances ransomware indique que 89 % des organisations attaquées ont vu leurs dépôts de sauvegarde pris pour cible. Dans 96 % des cas, les attaquants tentent de chiffrer ou d’effacer les backups avant de verrouiller les systèmes de production.
Le problème ? Une sauvegarde connectée au réseau et accessible avec des identifiants reste à portée de l’attaquant. S’il compromet un compte administrateur, il atteint la production et les copies de secours d’un seul mouvement. Les souches les plus actives en France en 2025, Qilin, Akira ou Lockbit selon le panorama de l’ANSSI, intègrent désormais cette logique : repérer les serveurs de sauvegarde, supprimer les clichés et les volumes de secours, puis chiffrer la production une fois la victime sans filet.
Pour répondre à cette menace, l’ANSSI recommande depuis 2022 une version étendue : la règle 3-2-1-1-0.
| Chiffre | Exigence | Rôle face au ransomware |
|---|---|---|
| 3 | Trois copies des données | Multiplie les chances de restauration |
| 2 | Deux supports différents | Évite la défaillance d’un seul type de média |
| 1 | Une copie hors site | Protège contre les sinistres physiques |
| 1 | Une copie immuable ou air-gappée | Résiste au chiffrement et à l’effacement |
| 0 | Zéro erreur après test de restauration | Garantit que la copie est exploitable |
Les deux derniers chiffres font toute la différence. Une copie immuable ne peut être ni modifiée ni supprimée pendant une durée définie, même par un administrateur. Une copie air-gappée reste physiquement déconnectée du réseau. L’attaquant ne peut atteindre ni l’une ni l’autre.
Immuabilité et air-gap : les deux remparts décisifs
La sauvegarde immuable et la sauvegarde air-gappée poursuivent le même but par deux chemins différents : rendre une copie inatteignable pour le ransomware.
L’immuabilité repose sur un verrouillage logiciel. Pendant une période fixée (7, 14 ou 30 jours par exemple), aucune commande ne peut écraser ou chiffrer les données. Les solutions de stockage objet comme Amazon S3 Object Lock, Wasabi ou Backblaze B2 proposent ce mécanisme. Le coût reste accessible : quelques euros par téraoctet et par mois pour le stockage froid.
L’air-gap, lui, joue sur la déconnexion physique. La copie vit sur un support hors ligne : bande LTO stockée en coffre, disque externe débranché après écriture, ou NAS allumé uniquement pendant la fenêtre de sauvegarde. Aucune connexion réseau permanente, donc aucune surface d’attaque.
Concrètement, une PME combine souvent les deux approches :
- Sauvegarde locale sur NAS pour les restaurations rapides du quotidien.
- Copie cloud immuable pour la résilience face au chiffrement.
- Bande ou disque air-gappé archivé hors site pour le pire scénario.
Cette architecture garantit qu’au moins une version exploitable survit à n’importe quelle attaque. La protection des données en entreprise passe d’abord par cette capacité de retour en arrière intacte.
Tester la restauration : l’étape que tout le monde oublie
Sauvegarder ne sert à rien si la restauration échoue. C’est pourtant le maillon le plus négligé, et le plus coûteux au moment d’un incident.
Les données de Veeam sont sans appel : 58 % des restaurations échouent en entreprise, et 37 % des tâches de sauvegarde présentent des défaillances. Plus alarmant encore, 72 % des victimes de ransomware disposaient de sauvegardes mais n’ont pas pu les restaurer correctement.
Le zéro de la règle 3-2-1-1-0 répond exactement à ce risque : zéro erreur prouvée après un test de restauration réel. Sauvegarder une donnée corrompue ou incomplète crée une fausse sécurité bien plus dangereuse qu’une absence assumée de copie.
Deux indicateurs cadrent vos exigences de reprise :
- RPO (Recovery Point Objective) : la quantité maximale de données que vous acceptez de perdre, mesurée en temps depuis la dernière sauvegarde valide. Un RPO d’une heure impose une sauvegarde au moins horaire.
- RTO (Recovery Time Objective) : la durée maximale d’indisponibilité tolérée avant le retour en service.
La fréquence des tests dépend de la criticité de chaque système.
| Niveau de criticité | RTO / RPO cible | Fréquence de test |
|---|---|---|
| Systèmes critiques | RTO < 4 h, RPO < 1 h | Mensuelle |
| Systèmes importants | RTO < 24 h, RPO < 8 h | Trimestrielle |
| Données standard | RTO < 72 h, RPO < 24 h | Semestrielle |
Un test de restauration vérifie deux choses : que les données reviennent intactes, et que le délai réel respecte votre RTO. Viser un RTO de 15 minutes n’a aucun sens si la restauration prend deux heures. Documentez chaque test, notez les écarts, corrigez la procédure.
Construire votre stratégie de sauvegarde étape par étape
Une politique de sauvegarde efficace suit une logique claire, du recensement des données jusqu’au contrôle régulier.
1. Cartographier les données critiques. Toutes les données ne se valent pas. Une base clients, des fichiers comptables ou des contrats engagent la survie de l’entreprise. Un dossier de brouillons, beaucoup moins. Classez vos actifs par criticité pour calibrer la fréquence et le niveau de protection. Un audit de cybersécurité identifie ces actifs prioritaires.
2. Définir RPO et RTO par système. Chaque application reçoit ses objectifs de reprise. Le serveur de facturation ne tolère pas le même délai qu’un partage de documents internes.
3. Choisir les supports et la répartition 3-2-1-1-0. Affectez chaque copie à un support et un emplacement. Vérifiez qu’aucune copie ne partage le même point de défaillance qu’une autre.
4. Automatiser et chiffrer. Une sauvegarde manuelle finit toujours par être oubliée. Planifiez les tâches et chiffrez les copies au repos comme en transit. Le chiffrement protège vos données même si un support tombe entre de mauvaises mains.
5. Tester, documenter, ajuster. Programmez les tests de restauration selon la criticité, conservez un journal des résultats, et révisez la stratégie à chaque changement d’infrastructure.
Cette discipline complète les autres bonnes pratiques en cybersécurité que sont l’authentification multifacteur, la mise à jour des systèmes et la segmentation réseau. La sauvegarde n’empêche pas l’attaque, elle garantit la reprise.
Sauvegarde et continuité d’activité
La sauvegarde alimente un dispositif plus large : la capacité de l’entreprise à reprendre son activité après un sinistre majeur.
Restaurer des fichiers ne suffit pas. Vous devez aussi remettre en service les applications, reconnecter les utilisateurs et rétablir les flux métiers dans un ordre précis. C’est l’objet du plan de continuité d’activité, qui orchestre la reprise au-delà de la seule donnée.
Le phishing ouvre souvent la porte à ces attaques. Un collaborateur clique sur un lien piégé, l’attaquant prend pied dans le réseau, puis déclenche le chiffrement. Coupler une stratégie de sauvegarde solide à la prévention du phishing et des ransomwares couvre les deux faces du risque : empêcher l’intrusion et survivre quand elle réussit.
Pour resituer la sauvegarde dans une politique de sécurité complète, le guide sur comment assurer la sécurité informatique détaille les autres couches techniques et organisationnelles à déployer.
Prochaine étape : recensez vos données critiques cette semaine, appliquez le 3-2-1-1-0 sur les trois systèmes les plus sensibles, puis programmez un premier test de restauration. Vous saurez en une journée si vos sauvegardes tiendraient face à une attaque réelle.