Rubs
Sécurité

Sauvegardes : la règle 3-2-1 et pourquoi votre backup actuel ne suffit pas

8 mai 20264 min de lecture

80% des entreprises qui perdent leurs données sans backup ferment dans l'année. La règle 3-2-1 est le minimum viable pour ne pas en faire partie.

Sauvegardes : la règle 3-2-1 et pourquoi votre backup actuel ne suffit pas

"On a des sauvegardes." C'est la réponse qu'on entend le plus souvent. Mais quand on creuse — quand a-t-elle été testée pour la dernière fois ? Couvre-t-elle vraiment tout ? Est-elle stockée au même endroit que les données ? — la plupart du temps, le backup est une fausse sécurité.

Pourquoi une sauvegarde mal conçue est presque aussi dangereuse qu'aucune sauvegarde

Un ransomware moderne chiffre d'abord les sauvegardes avant de s'attaquer aux données principales. Si votre backup est sur un disque connecté en permanence à votre réseau, il sera chiffré en même temps que le reste.

Un disque dur externe dans un tiroir ne protège que contre la panne machine — pas contre l'incendie, le vol, l'inondation ou le ransomware.

Une sauvegarde qui n'a jamais été testée est une sauvegarde qui ne fonctionne probablement pas. Les corruptions silencieuses sont fréquentes.

La règle 3-2-1 : le minimum viable

C'est le standard de l'industrie, simple à retenir :

  • 3 copies de vos données
  • 2 supports différents (disque local + cloud, par exemple)
  • 1 copie hors site (géographiquement séparée)

Concrètement : vos données sur votre serveur (copie 1), une sauvegarde sur un NAS dans vos locaux (copie 2, support différent), et une copie dans le cloud ou dans un autre bâtiment (copie 3, hors site).

Certains vont jusqu'à la règle 3-2-1-1-0 : une copie immuable (qu'on ne peut pas modifier ni supprimer) et zéro erreur vérifiée sur les restaurations. C'est le niveau entreprise.

Ce qu'il faut sauvegarder

Tout ce qui ne peut pas être recréé facilement :

  • Données métier : fichiers clients, devis, contrats, comptabilité
  • Bases de données : ERP, CRM, site e-commerce
  • Emails : Microsoft 365 et Google Workspace ne sauvegardent pas éternellement vos mails
  • Configurations : paramètres réseau, configurations serveur, licences
  • Code source : si vous développez des outils en interne

Ce qu'il n'est pas nécessaire de sauvegarder : le système d'exploitation (on le réinstalle), les logiciels (on les réinstalle), les fichiers temporaires.

Les outils selon votre situation

Pour un particulier ou une très petite structure

  • Time Machine (Mac) + disque externe pour la sauvegarde locale
  • iCloud, Google Drive ou Backblaze pour la copie cloud
  • Budget : 0 à 10 €/mois

Pour une PME sans serveur dédié

  • Veeam Agent ou Acronis pour les postes de travail
  • Microsoft 365 Backup ou Backupify pour protéger vos données cloud
  • Budget : 5 à 15 €/poste/mois

Pour une infrastructure avec serveurs

  • Veeam Backup & Replication : la référence pour les environnements virtualisés
  • Backblaze B2 ou AWS S3 pour le stockage cloud économique
  • Un NAS Synology ou QNAP comme cible locale
  • Budget : variable selon l'infrastructure, devis sur mesure

La question qui révèle tout : quand avez-vous testé votre restauration ?

Une sauvegarde ne vaut que si elle se restaure correctement. Le test de restauration doit être planifié, pas réalisé au moment d'une crise.

Nos recommandations :

  • Restauration partielle (quelques fichiers) : mensuelle
  • Restauration complète (serveur ou poste entier) : trimestrielle
  • Exercice de reprise d'activité (tout le SI) : annuelle

Si vous n'avez pas fait de test depuis plus de 6 mois, partez du principe que votre sauvegarde ne fonctionne pas. C'est le meilleur état d'esprit pour corriger la situation avant qu'il ne soit trop tard.

Le RTO et le RPO : deux indicateurs à connaître

  • RTO (Recovery Time Objective) : combien de temps pouvez-vous vous permettre d'être arrêté ? 1h ? 4h ? 24h ? C'est votre tolérance à la panne.
  • RPO (Recovery Point Objective) : jusqu'où pouvez-vous remonter dans le temps ? Si votre dernière sauvegarde date d'hier soir, vous perdrez une journée de travail.

Ces deux valeurs définissent la fréquence et la profondeur de votre stratégie de sauvegarde. Une entreprise avec un RTO de 2h et un RPO de 1h a des exigences très différentes d'une structure qui peut attendre 24h et perdre une journée de données.

Définissez ces valeurs, puis construisez votre backup en conséquence.

Questions fréquentes

On répond avant que vous posiez la question

Si la réponse n'est pas là, un premier échange de 30 min suffira.