Sauvegardes 3-2-1-1-0 : pourquoi votre backup actuel ne sauvera pas votre PME en cas de ransomware

"On a des sauvegardes." Cette phrase est répétée dans toutes les PME que j'audite. Et dans 70 % des cas, ces sauvegardes ne sauveraient rien en cas de vraie attaque. Pourquoi ? Parce qu'elles sont *connectées au domaine*, *accessibles depuis le serveur principal*, ou *jamais testées*. Les ransomwares modernes le savent — et chiffrent les sauvegardes en priorité, avant même les fichiers utilisateurs. Voici la règle qui marche réellement et comment l'implémenter sans exploser le budget.

Pourquoi votre sauvegarde actuelle est probablement vulnérable

Scénario A — Le NAS Synology connecté au domaine. C'est de loin le plus répandu en PME. Le NAS apparaît comme un lecteur réseau (Z:), tout le monde y a accès. Le ransomware démarre sur un poste utilisateur, se déplace sur le serveur via les comptes admin, monte le NAS, et chiffre tout — fichiers actifs *et* sauvegardes. Game over.

Scénario B — Veeam avec compte admin domaine. Veeam est un excellent produit. Mais s'il est configuré avec un compte admin du domaine pour accéder aux serveurs à sauvegarder, ce même compte permet à un ransomware d'accéder au repository Veeam. Les attaquants type LockBit cherchent activement les processus Veeam et les comptes associés.

Scénario C — Sauvegarde cloud "synchronisée". OneDrive, Google Drive, Dropbox synchronisés ne sont pas des sauvegardes — ce sont des miroirs. Quand le fichier original est chiffré, sa copie cloud est chiffrée aussitôt. Sauf à utiliser explicitement la fonction de version retention longue (et payer pour).

Scénario D — Disque dur USB connecté en permanence. Branché 24/7 sur le serveur, accessible comme un lecteur local. Chiffré en même temps. La pseudo-sauvegarde la plus inutile — et probablement la plus répandue dans les TPE.

La règle 3-2-1-1-0 expliquée

La règle classique 3-2-1 (3 copies, 2 supports différents, 1 hors site) date des années 2010 et ne suffit plus face aux ransomwares modernes. La nouvelle norme — promue notamment par Veeam et reprise par l'ANSSI — est 3-2-1-1-0 :

3 copies des données : la copie de production + 2 sauvegardes. Une seule sauvegarde, ce n'est pas une sauvegarde, c'est un point de défaillance unique. Si elle est corrompue/chiffrée, vous n'avez plus rien.

2 supports différents : disque local + bande, ou disque local + cloud, ou NAS + S3, etc. Pas deux disques durs côte à côte (incendie, vol, panne électrique foudroyante détruisent les deux). Pas deux NAS identiques (même bug firmware, même attaque réseau).

1 copie hors site : géographiquement distante. Cloud public (Backblaze B2, Wasabi, AWS S3, OVH Object Storage) ou site distant. Protection contre incendie, vol, dégât des eaux, perquisition.

1 copie immuable : impossible à modifier ou effacer, même par un compte admin compromis, pendant une période définie. C'est LA différence critique avec l'ancien 3-2-1. Implémentations courantes : Object Lock S3 (AWS, Wasabi, Backblaze, OVH), snapshot ZFS read-only avec montage déconnecté, bande LTO sortie du robot et stockée hors site, NAS dédié avec compte séparé du domaine.

0 erreur : la sauvegarde doit être testée régulièrement par restauration réelle. Une sauvegarde jamais testée n'est pas une sauvegarde — c'est une promesse. La fréquence minimale : test trimestriel d'une restauration complète (idéalement) ou partielle (acceptable). Sans test, vous découvrez le problème *au mauvais moment*.

Implémentation pour une PME — le setup recommandé

Niveau 1 — TPE (5-15 postes), budget 100-300 €/mois :

- Veeam Backup & Replication Community Edition (gratuit jusqu'à 10 instances) ou Synology Active Backup for Business (gratuit avec NAS Synology).

- Sauvegarde quotidienne incrémentale + hebdo complète, vers un NAS dédié (compte admin séparé, hors domaine).

- Réplication cloud vers Backblaze B2 (~5 €/TB/mois) ou Wasabi (~7 €/TB/mois) avec Object Lock activé pour 30 à 90 jours.

- Test de restauration trimestriel, documenté.

Niveau 2 — PME (15-100 postes), budget 300-1500 €/mois :

- Veeam Backup & Replication Standard ou Acronis Cyber Protect (intègre la détection de ransomware).

- Repository Veeam Hardened Linux (compte root local, désactivation SSH, immuabilité native via XFS reflinks) — c'est le standard 2026.

- Réplication cloud + bande LTO mensuelle pour archive long terme (obligations RGPD).

- Test de restauration mensuel d'un échantillon, trimestriel complet.

Niveau 3 — PME critiques / 100+ postes :

- Cohesity / Rubrik / Commvault (solutions enterprise, 5-15 €/poste/mois).

- Architecture air-gap : repository physiquement déconnecté du réseau entre les jobs de sauvegarde.

- PRA documenté avec RTO/RPO contractuels (Recovery Time/Point Objective).

- Exercice de PRA semestriel impliquant la direction.

Les pièges à éviter (vu en audit)

Piège 1 — Le compte de service trop privilégié. Le compte qui exécute les sauvegardes a souvent les droits Domain Admin "pour simplifier". Erreur. Compte dédié, droits minimums (lecture sur les sources, écriture sur le repository), MFA si possible.

Piège 2 — La rétention insuffisante. Garder seulement 7 jours. Or, le temps moyen entre l'intrusion initiale (patient zéro) et le chiffrement final est de 2 à 30 jours (rapport Mandiant M-Trends 2024). Si votre rétention est de 7 jours, toutes vos sauvegardes peuvent contenir le ransomware en dormance. Rétention minimale recommandée : 90 jours sur l'immuable, idéalement 180.

Piège 3 — Le repository sur le même hyperviseur que les VM sauvegardées. "On a un VM Veeam sur notre VMware." Le ransomware compromet l'hyperviseur ESXi ? Toutes les VM, y compris Veeam, sont prises. Repository physiquement séparé obligatoire.

Piège 4 — Pas de sauvegarde des Microsoft 365 / Google Workspace. "C'est dans le cloud, c'est sauvegardé." Non. Microsoft a une politique de rétention par défaut de 14-30 jours selon les types. Si un ransomware chiffre vos OneDrive et que vous ne vous en apercevez qu'après 30 jours, vos données sont perdues. Veeam Backup for Microsoft 365 ou AvePoint Cloud Backup : 3-5 €/utilisateur/mois, indispensable.

Le test de restauration — la partie que personne ne fait

Le test trimestriel doit valider trois choses :

1. La sauvegarde existe et est cohérente. Le job s'est-il bien terminé ? Le fichier de sauvegarde se monte-t-il ? Ne pas se contenter du "OK" du logiciel — vérifier manuellement.

2. La restauration fonctionne. Restaurer un échantillon de 10 fichiers + une VM de test. Mesurer le temps. Vérifier l'intégrité (taille, hash, ouverture des fichiers).

3. Le RTO réel est conforme à votre PCA. Si votre plan dit "reprise sous 4h", testez : combien de temps pour restaurer le serveur de fichiers complet ? L'AD ? L'ERP ? Souvent on découvre que ça prend 24h au lieu des 4h annoncées.

Documentez chaque test : date, opérateur, résultat, anomalies. Sans documentation, vous n'avez pas de preuve de conformité (ni pour l'assurance cyber, ni pour NIS2, ni pour la CNIL).

En résumé

Une sauvegarde qui n'est pas immuable, hors site et testée n'est pas une sauvegarde — c'est un sentiment de sécurité. Face aux ransomwares modernes, qui ciblent activement les backups, seule la règle 3-2-1-1-0 offre une protection sérieuse.

Le coût : pour une PME 50 postes, environ 400-800 €/mois tout compris (logiciel, repository, cloud immuable, M365 backup). Pour comparaison : le coût moyen d'un ransomware sur une PME française est 105 000 €, et 60 % des PME victimes ferment dans les 18 mois. Le ROI de la sauvegarde sérieuse n'est pas une question de budget — c'est une question de survie.

Et le bonus : avec un PRA testé et une sauvegarde 3-2-1-1-0 documentée, vous êtes assurable par les assureurs cyber sérieux (Hiscox, Allianz, AIG), avec des primes 30-50 % moins chères qu'une PME sans PRA.