Le jour où une entreprise doit restaurer ses données, il est déjà trop tard pour découvrir que la sauvegarde ne couvre pas les bons dossiers, que la rétention est trop courte, ou que personne ne sait relancer la reprise. C'est exactement à ce moment-là que beaucoup de dirigeants réalisent qu'ils avaient un outil, mais pas encore une vraie capacité de reprise. C'est pour cela que la règle 3-2-1 reste utile. Elle oblige à sortir d'une fausse impression de sécurité.
Dans une TPE ou une PME, le vrai sujet n'est pas d'empiler les outils ni de collectionner les options marketing des éditeurs. Le vrai sujet est d'obtenir une sauvegarde qui tient quand un poste tombe, quand un serveur lâche, quand une erreur humaine efface des fichiers ou quand un rançongiciel tente d'atteindre aussi les copies de secours. La bonne nouvelle, c'est qu'une architecture simple peut déjà couvrir l'essentiel, à condition d'être pensée pour la reprise et pas seulement pour cocher une case.
En bref
- Gardez au moins 3 copies des données, dont l'original.
- Utilisez 2 supports ou environnements différents.
- Gardez 1 copie séparée du système principal, idéalement hors site ou isolée.
- Protégez les consoles de sauvegarde avec du MFA.
- Testez la restauration, sinon la sauvegarde reste une hypothèse.
- Cadrez des objectifs simples de reprise avant de choisir ou changer l'outil.
Le problème réel
Dans beaucoup de TPE et de PME, le mot sauvegarde désigne surtout un logiciel qui tourne en arrière-plan. C'est insuffisant. Une sauvegarde utile n'est pas seulement une tâche planifiée. C'est une capacité prouvée à retrouver des données et à remettre un service en état dans un délai acceptable. Dit autrement, le sujet n'est pas le job en vert. Le sujet est la reprise exploitable.
L'ANSSI rappelle dans son guide d'hygiène informatique qu'il faut protéger, isoler et vérifier les sauvegardes. CISA insiste de son côté, dans son guide StopRansomware, sur le maintien de sauvegardes hors ligne ou inaccessibles aux attaquants et sur les tests réguliers de restauration. NIST replace enfin le sujet dans une logique plus large de résilience avec le Cybersecurity Framework.
Le risque n'est donc pas seulement la perte de données. Le risque est de croire que l'on est protégé alors que la chaîne de reprise n'a jamais été vérifiée.
Les 4 questions qu'une sauvegarde doit pouvoir trancher
Avant même de parler d'outil, une direction ou un responsable IT devrait pouvoir répondre à quatre questions très simples.
Que peut-on perdre au maximum
Autrement dit, quelle quantité de données l'entreprise accepte de reperdre entre deux points de sauvegarde. Une comptabilité mise à jour une fois par jour, un dossier client travaillé en continu et une base métier transactionnelle n'ont pas le même niveau d'exigence.
En combien de temps peut-on repartir
Restaurer un fichier en dix minutes et remettre en route un serveur ou un tenant exploitable en quelques heures ne relèvent pas du même engagement. Sans ordre de grandeur réaliste, la sauvegarde reste déconnectée du besoin métier.
Qui sait lancer la reprise
Une sauvegarde bien configurée mais détenue par un seul prestataire, un seul admin ou une seule personne clé crée une dépendance dangereuse. Le sujet n'est pas uniquement technique. Il est aussi organisationnel.
Que se passe-t-il si le site principal ou le compte admin tombe
Cette question fait tout de suite apparaître les angles morts. Si la console, la copie locale et les identifiants critiques vivent dans le même périmètre, la résilience reste insuffisante.
Ce que veut dire la règle 3-2-1
La règle 3-2-1 se résume facilement.
- 3 copies des données
- 2 types de supports ou environnements différents
- 1 copie séparée du système principal
Dit autrement, vous gardez vos données de production, au moins une copie de sauvegarde locale ou proche, et une autre copie ailleurs ou suffisamment isolée pour survivre à un incident majeur.
Cette règle n'impose pas une architecture lourde. Elle impose de ne pas tout faire reposer sur un seul point de défaillance.
3-2-1 ne veut pas dire 3 copies identiques
Beaucoup d'entreprises comprennent correctement le chiffre, mais moins bien la logique. Le but n'est pas de dupliquer trois fois le même risque. Le but est de diversifier les points de reprise.
Une bonne lecture du 3-2-1 consiste à varier au moins une partie de ces dimensions :
- le support ou l'environnement
- le site ou la zone d'hébergement
- le compte ou le plan d'administration
- la rétention et l'historique disponible
Trois copies gérables depuis la même console, avec les mêmes droits et dans le même tenant, valent souvent moins qu'on ne le croit face à une compromission sérieuse.
Pourquoi cette règle reste pertinente
Les incidents les plus fréquents en PME ne ressemblent pas toujours à une catastrophe spectaculaire. Souvent, il s'agit de cas très simples.
- suppression accidentelle d'un dossier
- corruption d'une base ou d'un partage
- panne de NAS ou de serveur
- erreur de manipulation lors d'une intervention
- chiffrement par rançongiciel
Dans chacun de ces cas, une seule copie ou une seule plateforme de sauvegarde expose l'entreprise à un effet domino. La règle 3-2-1 casse justement cette dépendance excessive.
Ce qui échoue souvent en pratique
Une seule copie de secours
Beaucoup de structures disposent en réalité d'une seule vraie sauvegarde. Si cette copie repose sur le même site, le même tenant ou le même compte d'administration, le niveau de résilience reste limité.
Une sauvegarde non testée
Une restauration jamais testée est une promesse. Ce n'est pas encore une preuve.
Une console de sauvegarde mal protégée
Si l'attaquant peut supprimer les jeux de sauvegarde, modifier la rétention ou couper les jobs, l'existence même de copies supplémentaires perd une grande partie de sa valeur. C'est pour cela que les accès de sauvegarde doivent être traités comme des accès critiques.
Un périmètre mal défini
Les postes sont parfois couverts, mais pas le tenant Microsoft 365. Le serveur est sauvegardé, mais pas la base métier. Les fichiers existent en copie, mais pas les configurations réseau ou firewall. Une sauvegarde incomplète donne une impression de couverture qui ne tient pas à la reprise.
À quoi ressemble une mise en oeuvre simple en TPE
Une TPE n'a pas besoin d'une plateforme complexe pour appliquer une logique 3-2-1 propre.
| Besoin | Option simple | Point de vigilance |
|---|---|---|
| Copie de production | Poste, NAS ou serveur principal | Ce n'est pas une sauvegarde |
| Copie locale | NAS dédié ou disque de sauvegarde piloté | Ségrégation des accès |
| Copie séparée | Cloud backup ou rotation de support hors site | Rétention et restauration testée |
Une petite structure peut déjà obtenir un bon niveau de protection avec un NAS ou un support local dédié, plus une copie cloud ou une copie externalisée. La clé n'est pas le prestige de l'outil. La clé est l'indépendance réelle entre les copies.
Le bon arbitrage en TPE n'est donc pas entre solution basique et solution haut de gamme. Le bon arbitrage est entre une architecture sobre mais testée, et une architecture plus riche mais mal maîtrisée. Dans la pratique, la première apporte souvent plus de valeur.
Deux mises en oeuvre qui tiennent la route
Cas 1. TPE de 10 à 20 personnes
Le plus souvent, une TPE a besoin de protéger un petit serveur, un NAS, quelques postes clés et Microsoft 365.
Une base saine peut ressembler à ceci :
- production sur serveur ou NAS principal
- copie locale sur support dédié non utilisé pour le quotidien
- copie cloud ou support externalisé avec rétention distincte
- accès admin séparés et comptes de sauvegarde protégés par MFA
- test simple de restauration tous les mois ou tous les trimestres selon la criticité
L'objectif n'est pas la sophistication. L'objectif est d'éviter qu'une panne locale, une erreur humaine ou un rançongiciel ne fasse tomber toute la chaîne en même temps.
Cas 2. PME de 50 à 150 personnes
La PME a souvent plusieurs VM, davantage de données, un SaaS critique, et plus d'intervenants sur l'administration.
Une base saine peut alors inclure :
- copie locale pour les restaurations rapides
- copie séparée sur un autre environnement ou autre site
- rétention différenciée selon les services critiques
- journalisation et supervision des échecs de jobs
- revue régulière des comptes, droits et procédures de reprise
Dans ce cadre, la qualité du pilotage devient aussi importante que le stockage lui-même.
Ce qu'une PME doit cadrer en plus
Une PME a souvent plus de serveurs, plus de données, plus d'applications métier et davantage de dépendances. La sauvegarde doit donc être pensée comme un dispositif d'exploitation, pas comme une simple option technique.
Les points à cadrer deviennent plus structurants.
- périmètre de sauvegarde par service et par application
- objectifs de rétention et de restauration
- priorités de reprise en cas d'incident
- comptes d'administration séparés et tracés
- supervision des jobs, des échecs et de la capacité
Quand ces sujets ne sont pas formalisés, l'entreprise a souvent une sauvegarde existante mais un niveau de reprise flou.
RPO et RTO, même sans jargon inutile
La plupart des PME n'ont pas besoin d'un atelier de gouvernance pour cadrer le sujet. Elles ont besoin d'une cible simple et comprise.
- RPO : combien de données peut-on reperdre au maximum
- RTO : en combien de temps faut-il retrouver un service exploitable
Ces deux repères évitent les malentendus. Une sauvegarde quotidienne peut convenir pour des archives peu mouvantes. Elle devient insuffisante pour une application métier active toute la journée. À l'inverse, viser une reprise en quelques minutes sur tous les services fait vite exploser la complexité et le budget.
Le bon niveau n'est pas celui qui impressionne. C'est celui qui correspond au coût réel d'un arrêt et au rythme réel de création des données.
Quoi sauvegarder d'abord
Si tout ne peut pas être traité au même niveau dès le premier mois, il faut prioriser.
1. Les données métier irremplaçables
Comptabilité, dossiers clients, fichiers de production, contrats, données RH, exports métier critiques. C'est souvent ce qui coûte le plus cher à perdre.
2. Les systèmes qui font tourner l'activité
Serveurs de fichiers, VM essentielles, bases de données, applications métier, annuaire, DNS, DHCP selon l'architecture.
3. Les configurations et dépendances techniques
Firewall, switchs, NAS, hyperviseur, scripts, tâches planifiées, documentation d'exploitation. Une entreprise peut parfois retrouver des fichiers plus vite qu'une configuration réseau proprement documentée.
4. Les services cloud critiques
Microsoft 365, SharePoint, OneDrive, messagerie, CRM cloud et autres SaaS qui concentrent les échanges ou la production documentaire. La disponibilité du service ne remplace pas toujours une stratégie de sauvegarde adaptée à votre besoin de reprise.
Sur ce point, beaucoup de PME confondent disponibilité du service et capacité de restauration au niveau attendu. Ce n'est pas la même chose. Quand une entreprise dépend fortement de Microsoft 365 ou d'un autre SaaS, il faut regarder de près ce qui est réellement récupérable, sur quelle profondeur, et sous quelle responsabilité.
Une lecture simple de la règle 3-2-1 par scénario
| Scénario | Ce que 3-2-1 évite |
|---|---|
| Panne d'un serveur ou d'un NAS | Perdre l'unique copie disponible |
| Erreur humaine | Écraser ou supprimer toutes les versions utiles |
| Incident local sur site | Voir partir production et sauvegarde ensemble |
| Ransomware | Laisser l'attaquant chiffrer aussi les copies accessibles |
| Mauvaise manipulation admin | Modifier rétention, jobs ou politique de suppression partout |
Comment rester simple sans tomber dans le minimum fragile
La bonne approche consiste à viser une sauvegarde lisible et pilotable.
- peu de flux, mais bien compris
- peu d'exceptions, mais documentées
- supervision élémentaire, mais vraie
- tests de restauration réguliers
- accès admin limités et protégés
Microsoft rappelle dans sa documentation sur Azure Backup l'importance de la sécurisation des données, du suivi et de la capacité de restauration dans une logique de continuité. Ce n'est pas une question réservée aux grands comptes. C'est une question d'hygiène de base pour toute structure qui dépend de ses données.
Pour un dirigeant, la bonne question n'est pas seulement "sommes-nous sauvegardés". La bonne question est plutôt "si nous perdons tel service demain matin, savons-nous quoi restaurer, dans quel ordre, avec quels comptes, et en combien de temps". C'est cette lecture qui transforme une sauvegarde en véritable filet de sécurité.
Ce que 3-2-1 ne règle pas à lui seul
La règle 3-2-1 est un cadre utile. Elle ne remplace pas certaines décisions de base.
- la protection des comptes d'administration
- la supervision des échecs et de la capacité
- la documentation de reprise
- la priorisation des services critiques
- les tests hors du cas nominal
Autrement dit, 3-2-1 aide à construire une base robuste. Ce n'est pas une baguette magique. Une entreprise peut respecter le principe sur le papier et rester faible dans l'exécution.
Ce qu'il faut tester vraiment
Une sauvegarde sérieuse ne se limite pas à vérifier que le job est en vert. Il faut tester des cas concrets.
Test 1. Restaurer un fichier ou un dossier
Le test le plus simple, mais aussi le plus fréquent dans la vie réelle.
Test 2. Restaurer une machine ou une VM critique
Objectif : mesurer le temps réel, pas le temps théorique.
Test 3. Restaurer hors du site principal ou hors du système touché
Ce test vérifie qu'une copie séparée joue bien son rôle quand le site principal ou l'environnement principal est indisponible.
Test 4. Vérifier les droits et la procédure
Qui peut lancer la restauration. Qui valide. Qui accède à la console. Qui sait où sont les secrets, les comptes, la documentation. Beaucoup d'échecs viennent de la procédure, pas du support lui-même.
Ce qu'une TPE peut faire la première semaine
- Lister les données et services que l'entreprise ne peut pas perdre.
- Vérifier où existent aujourd'hui les copies, et sous quels comptes.
- Mettre en place une deuxième copie sur un environnement distinct si elle n'existe pas.
- Protéger les consoles et comptes de sauvegarde avec du MFA.
- Réaliser un test de restauration simple et le documenter.
Ce plan est volontairement court. Son but est de faire remonter très vite les angles morts les plus dangereux.
Les erreurs fréquentes
Confondre synchronisation et sauvegarde
Une synchronisation recopie aussi une suppression, une corruption ou un chiffrement selon le scénario. Elle n'offre pas automatiquement la même protection qu'une sauvegarde avec rétention et restauration maîtrisées.
Sauvegarder sans priorité de reprise
Tout sauvegarder de la même manière ne veut pas dire tout pouvoir restaurer dans le bon ordre.
Laisser le même compte administrer production et sauvegarde
Cette erreur détruit une grande partie de l'intérêt de la séparation logique entre les copies.
Ne jamais tester hors du cas nominal
Si la restauration n'est testée que dans les conditions les plus simples, le jour d'un incident réel apporte de mauvaises surprises.
Oublier la documentation
Le support existe, les copies existent, mais personne ne sait quoi restaurer d'abord ni comment. Sans documentation minimale, la qualité de reprise reste fragile.
Questions fréquentes sur la sauvegarde 3-2-1
La règle 3-2-1 est-elle encore suffisante face aux rançongiciels
Elle reste une excellente base. Elle doit simplement être appliquée avec une vraie séparation des accès, une protection des consoles et des tests réguliers. Le principe reste bon. C'est son exécution qui fait la différence.
Faut-il absolument une copie hors ligne
Une copie hors ligne ou fortement isolée renforce clairement la résilience, surtout face au ransomware. CISA insiste sur ce point dans son guide. Selon le contexte, une copie cloud immuable ou une copie déconnectée peut jouer ce rôle si elle est correctement administrée.
Faut-il une copie immuable
Ce n'est pas obligatoire dans tous les contextes, mais c'est un vrai plus dès que le risque ransomware ou l'exposition des comptes d'administration monte. L'intérêt d'une copie immuable est simple : réduire la possibilité de suppression ou d'altération malveillante pendant une fenêtre définie.
Un NAS suffit-il pour faire de la sauvegarde
Un NAS peut faire partie de la stratégie. Il ne doit pas être l'unique filet de sécurité si tout repose sur le même site, les mêmes comptes ou la même exposition.
À quelle fréquence faut-il tester la restauration
Cela dépend de la criticité. Le minimum raisonnable consiste à tester régulièrement les restaurations simples et à planifier des tests plus complets sur les services critiques.
Quand lancer un audit sauvegarde
Un audit ciblé devient rentable avant même un incident si l'un de ces signaux apparaît.
- personne ne sait dire clairement ce qui est sauvegardé et ce qui ne l'est pas
- les restaurations n'ont pas été testées depuis longtemps
- un changement de prestataire ou d'infrastructure se prépare
- les comptes d'administration sont flous ou trop concentrés
- Microsoft 365 ou un SaaS critique a pris une place centrale sans vraie revue du dispositif
Dans ces cas, continuer à accumuler des copies sans clarifier le périmètre et la reprise ajoute de la complexité, pas de la sécurité. Un audit court permet souvent de distinguer très vite ce qui est sain, ce qui manque, et ce qui mérite un correctif prioritaire.
Ce que cela change concrètement
Une sauvegarde 3-2-1 bien appliquée change le niveau de sérénité en exploitation. L'entreprise dépend moins d'un seul support, d'un seul site ou d'un seul compte. En cas d'erreur, de panne ou d'attaque, les options de reprise deviennent réelles.
Pour une TPE, cela évite qu'un incident local se transforme en arrêt long et coûteux. Pour une PME, cela clarifie le pilotage de la rétention, des tests, des priorités de restauration et des responsabilités. C'est souvent la base la plus rentable avant de parler de PRA, d'architecture plus avancée ou d'infogérance structurée.
Le plus utile reste de traiter la sauvegarde comme un maillon de la chaîne d'exploitation, au même titre que les accès, la supervision et la documentation. Quand le périmètre est encore flou, un audit informatique ou un diagnostic permet de remettre de l'ordre avant de rajouter des couches d'outillage.
Si le sujet est encore traité uniquement sous l'angle du logiciel de sauvegarde, il manque une partie du problème. Ce qui compte vraiment, c'est la qualité de reprise obtenue, le niveau de séparation entre les copies, et la capacité de l'entreprise à restaurer vite ce qui compte le plus.
Quand ce niveau de lecture manque, le plus utile n'est pas de racheter un outil de plus. Le plus utile est de remettre à plat le périmètre, les dépendances, les comptes critiques et la logique de reprise. C'est exactement ce qui permet ensuite de choisir une architecture de sauvegarde sobre, défendable et vraiment exploitable.
Sources
- ANSSI Guide d'hygiène informatique
- CISA #StopRansomware Guide
- NIST Cybersecurity Framework
- Microsoft Learn Azure Backup overview
Sources
Accompagnement disponible sur ce sujet
Initial Infrastructures intervient sur l'ensemble de ces problématiques pour les PME et ETI. Un échange court permet d'identifier les priorités et le bon niveau d'intervention.