"On a des sauvegardes." C'est la réponse qu'on entend le plus souvent. Mais quand on creuse — quand a-t-elle été testée pour la dernière fois ? Couvre-t-elle vraiment tout ? Est-elle stockée au même endroit que les données ? — la plupart du temps, le backup est une fausse sécurité.
Pourquoi une sauvegarde mal conçue est presque aussi dangereuse qu'aucune sauvegarde
Un ransomware moderne chiffre d'abord les sauvegardes avant de s'attaquer aux données principales. Si votre backup est sur un disque connecté en permanence à votre réseau, il sera chiffré en même temps que le reste.
Un disque dur externe dans un tiroir ne protège que contre la panne machine — pas contre l'incendie, le vol, l'inondation ou le ransomware.
Une sauvegarde qui n'a jamais été testée est une sauvegarde qui ne fonctionne probablement pas. Les corruptions silencieuses sont fréquentes.
La règle 3-2-1 : le minimum viable
C'est le standard de l'industrie, simple à retenir :
- 3 copies de vos données
- 2 supports différents (disque local + cloud, par exemple)
- 1 copie hors site (géographiquement séparée)
Concrètement : vos données sur votre serveur (copie 1), une sauvegarde sur un NAS dans vos locaux (copie 2, support différent), et une copie dans le cloud ou dans un autre bâtiment (copie 3, hors site).
Certains vont jusqu'à la règle 3-2-1-1-0 : une copie immuable (qu'on ne peut pas modifier ni supprimer) et zéro erreur vérifiée sur les restaurations. C'est le niveau entreprise.
Ce qu'il faut sauvegarder
Tout ce qui ne peut pas être recréé facilement :
- Données métier : fichiers clients, devis, contrats, comptabilité
- Bases de données : ERP, CRM, site e-commerce
- Emails : Microsoft 365 et Google Workspace ne sauvegardent pas éternellement vos mails
- Configurations : paramètres réseau, configurations serveur, licences
- Code source : si vous développez des outils en interne
Ce qu'il n'est pas nécessaire de sauvegarder : le système d'exploitation (on le réinstalle), les logiciels (on les réinstalle), les fichiers temporaires.
Les outils selon votre situation
Pour un particulier ou une très petite structure
- Time Machine (Mac) + disque externe pour la sauvegarde locale
- iCloud, Google Drive ou Backblaze pour la copie cloud
- Budget : 0 à 10 €/mois
Pour une PME sans serveur dédié
- Veeam Agent ou Acronis pour les postes de travail
- Microsoft 365 Backup ou Backupify pour protéger vos données cloud
- Budget : 5 à 15 €/poste/mois
Pour une infrastructure avec serveurs
- Veeam Backup & Replication : la référence pour les environnements virtualisés
- Backblaze B2 ou AWS S3 pour le stockage cloud économique
- Un NAS Synology ou QNAP comme cible locale
- Budget : variable selon l'infrastructure, devis sur mesure
La question qui révèle tout : quand avez-vous testé votre restauration ?
Une sauvegarde ne vaut que si elle se restaure correctement. Le test de restauration doit être planifié, pas réalisé au moment d'une crise.
Nos recommandations :
- Restauration partielle (quelques fichiers) : mensuelle
- Restauration complète (serveur ou poste entier) : trimestrielle
- Exercice de reprise d'activité (tout le SI) : annuelle
Si vous n'avez pas fait de test depuis plus de 6 mois, partez du principe que votre sauvegarde ne fonctionne pas. C'est le meilleur état d'esprit pour corriger la situation avant qu'il ne soit trop tard.
Le RTO et le RPO : deux indicateurs à connaître
- RTO (Recovery Time Objective) : combien de temps pouvez-vous vous permettre d'être arrêté ? 1h ? 4h ? 24h ? C'est votre tolérance à la panne.
- RPO (Recovery Point Objective) : jusqu'où pouvez-vous remonter dans le temps ? Si votre dernière sauvegarde date d'hier soir, vous perdrez une journée de travail.
Ces deux valeurs définissent la fréquence et la profondeur de votre stratégie de sauvegarde. Une entreprise avec un RTO de 2h et un RPO de 1h a des exigences très différentes d'une structure qui peut attendre 24h et perdre une journée de données.
Définissez ces valeurs, puis construisez votre backup en conséquence.