Cybersécurité 4 min de lecture

Sauvegardes 3-2-1 pour PME : la règle expliquée, et comment la tester vraiment

La règle 3-2-1 est devenue cliché, pourtant mal appliquée dans une PME romande sur deux. Ce qu'elle veut dire concrètement, et comment vérifier que la vôtre tient.

Par Équipe WebIdentity

Vous avez probablement déjà entendu la règle 3-2-1 appliquée aux sauvegardes : trois copies, deux supports, une hors site. Elle est devenue un standard tellement répété qu’elle passe pour acquise, pourtant, une PME romande sur deux que nous auditons découvre à la première restauration test que sa sauvegarde ne respecte ni la lettre ni l’esprit de cette règle.

Ce billet remet les choses au clair, en montrant ce que veut dire chacune des trois composantes et comment vérifier concrètement que votre dispositif tient face à un ransomware.

3 copies, 2 supports, 1 hors site : vraiment

Décomposons :

  • 3 copies : votre production (qui compte comme une copie) plus deux sauvegardes. C’est rare que ce soit le piège : la plupart des PME ont au moins un NAS et un cloud en plus de leur serveur.

  • 2 supports différents : disque dur d’un NAS local et stockage cloud, par exemple. Ce n’est pas deux dossiers sur le même NAS. L’objectif est qu’une panne matérielle (NAS qui lâche) ne fasse pas perdre les deux copies en même temps.

  • 1 hors site : physiquement séparée de votre production. Un disque dans le coffre de la voiture du patron, c’est mieux que rien, un cloud externe géré, c’est l’industrie standard.

La règle est simple sur le papier. Le diable est dans les détails de mise en œuvre.

Le piège n°1 : la copie « hors site » qui ne l’est pas vraiment

Un dossier OneDrive synchronisé en permanence avec vos postes n’est pas une sauvegarde hors site. Quand un ransomware chiffre vos fichiers locaux, OneDrive synchronise les versions chiffrées vers le cloud, et vous perdez les deux copies.

Pour qu’une copie hors site joue son rôle, il faut qu’elle soit :

  • Déconnectée du réseau de production une fois la sauvegarde terminée (disque rotatif débranché, par exemple)
  • Immutable (impossible à modifier ou supprimer pendant un délai défini, fonction native sur Veeam, Synology C2, AWS S3 Object Lock)
  • Versionnée avec rétention longue, pour pouvoir revenir avant l’instant d’attaque

Les solutions cloud sérieuses (Veeam Backup, Synology Active Backup vers C2, Microsoft 365 Backup vers une cible immutable) répondent à ces trois critères. Une simple synchro de dossiers, non.

Le piège n°2 : la sauvegarde jamais testée

C’est l’écueil que nous voyons le plus souvent. Une PME a mis en place une sauvegarde il y a trois ans, le voyant vert est allumé chaque matin, personne n’a jamais essayé de restaurer quoi que ce soit. Le jour où un ransomware frappe, on découvre que :

  • La base de données métier n’était pas dans le périmètre
  • Les fichiers Outlook (.pst, .ost) sont là mais corrompus
  • Les sauvegardes des trois derniers mois sont identiques (le bouton « différentiel » ne marchait plus)
  • Personne ne se souvient du mot de passe du compte cloud de sauvegarde

Une sauvegarde non testée n’est pas une sauvegarde. C’est une fiction confortable, qui repose sur l’illusion que le voyant vert signifie quelque chose.

Comment tester sa sauvegarde : vraiment

Le bon test n’est pas « le voyant est-il vert ». C’est : « puis-je restaurer ce fichier précis, ouvert dans Excel, en moins de 30 minutes ? »

Un test mensuel suffit pour la plupart des PME. Voici le scénario à suivre :

  1. Choisir un fichier non trivial, un classeur Excel partagé, une boîte mail nominative, un dossier projet, pas un fichier de test bidon.
  2. Restaurer sur une machine différente, pas écraser la production. Idéalement une VM jetable ou un poste hors ligne.
  3. Vérifier l’intégrité, ouvrir le fichier, lancer l’application, contrôler qu’il est utilisable. Pour une base de données, exécuter une requête sur des données récentes.
  4. Chronométrer, combien de temps a-t-il fallu ? Une heure ? Une journée ? C’est votre RTO réel, pas celui du contrat.
  5. Documenter, qui a fait le test, quand, avec quel résultat. En cas d’audit nLPD ou d’incident, vous serez content d’avoir cette trace.

Si une de ces étapes échoue, c’est exactement ce que vous deviez savoir avant l’incident, et corriger maintenant.

3-2-1-1-0, et l’immutabilité

Depuis 2023-2024, plusieurs grands acteurs (Veeam, Microsoft, AWS) parlent de 3-2-1-1-0, extension de la règle classique avec :

  • 1 copie immutable (qui résiste explicitement aux tentatives de chiffrement par ransomware)
  • 0 erreur à la vérification (validation automatique de l’intégrité)

C’est ce vers quoi nous amenons nos clients PME progressivement. L’immutabilité n’est plus une option de luxe, c’est devenu un standard accessible à 30-50 CHF/mois en plus selon le volume.

Conclusion

La règle 3-2-1 est un excellent point de départ, pas un point d’arrivée. Si vous voulez vérifier que la vôtre tient, le test que nous avons décrit ci-dessus prend deux heures par mois et révèle la quasi-totalité des écarts. C’est l’investissement de temps qui paie le mieux dans toute votre démarche cybersécurité.

Et si vous préférez confier ce travail à un partenaire, notre accompagnement cybersécurité PME inclut la vérification mensuelle de sauvegardes, avec rapport, sans surcoût caché. C’est l’un des éléments dont nos clients nous parlent le plus, parce qu’il transforme une inquiétude diffuse en certitude documentée.

Tags

  • #sauvegardes
  • #ransomware
  • #3-2-1
  • #restauration
  • #PME

Cet article a soulevé une question ?

Notre équipe est joignable directement, par téléphone, WhatsApp ou mail. Pas de robot, pas de hotline labyrinthique.

Nous écrire +41 27 320 76 00
Appeler WhatsApp