Les sauvegardes sont-elles obligatoires sous la Loi 25?

L'article 10 de la Loi 25 exige des mesures de sécurité raisonnables qui incluent la disponibilité (intégrité, accessibilité). L'article 3.6 considère la perte de RP comme un incident de confidentialité. Sans sauvegardes testées, l'organisation ne peut pas démontrer sa capacité à respecter ces obligations. ISO 27001 A.8.13 et CIS Controls v8 IG1 #11 le précisent comme priorité.

Qu'est-ce que la règle 3-2-1 et la règle 3-2-1-1-0?

La règle 3-2-1 (référence NIST/NCCoE) impose 3 copies des données, sur 2 supports différents, dont 1 hors site. La règle 3-2-1-1-0 (évolution post-ransomware) ajoute 1 copie immutable (verrouillée en écriture, impossible à supprimer même par admin compromis) et 0 erreur lors des tests de restauration.

Qu'est-ce que RTO et RPO?

RTO (Recovery Time Objective) est la durée maximale acceptable d'interruption d'un service. RPO (Recovery Point Objective) est la quantité de données acceptable à perdre, exprimée en temps. Ces deux objectifs doivent être définis par service — la paie n'a pas le même RTO/RPO que le site marketing.

À quelle fréquence faut-il tester les restaurations?

CIS Controls v8 IG1 #11.5 exige des tests réguliers. La pratique attendue : restauration partielle mensuelle (un fichier au hasard, vérifier qu'il s'ouvre), restauration de service complète semestrielle ou annuelle. Chaque test doit être documenté avec date, durée réelle, écart vs RTO/RPO cible.

Cette obligation s'applique-t-elle indépendamment de la stack?

Oui. La Loi 25 et les standards techniques ne distinguent pas par environnement. Les principes de sauvegardes 3-2-1 et de tests de restauration sont universels — applicables à Microsoft 365, Google Workspace, sur site, cloud public, hybride.

Formation Numérique · Module 4 · Exigences légales et standards
Loi 25 art. 10, 3.5, 3.6 + ISO 27001 + CIS Controls v8 IG1

Continuité et sauvegardes — Exigences Loi 25 et standards

L'article 10 inclut la disponibilité. L'article 3.6 fait de la perte de RP un incident. ISO 27001 et CIS Controls v8 IG1 imposent les sauvegardes testées comme priorité. Voici le cadre exact.

Analyser mon infrastructure numérique Planifier l'accompagnement →

Contexte légal et normatif

La Loi 25 ne nomme pas les sauvegardes, mais l'article 10 (mesures de sécurité raisonnables) inclut implicitement la disponibilité, et l'article 3.6 fait de la perte de renseignements personnels un incident de confidentialité. Le respect de ces articles passe par une stratégie de continuité documentée et testée. ISO 27001:2022 (A.5.29, A.5.30, A.8.13, A.8.14) et CIS Controls v8 IG1 (#11 Data Recovery, 5 sous-mesures) sont les standards de référence pratiques.

Applicable à tout environnement. Les standards 3-2-1, RTO/RPO, tests de restauration sont universels.

Ce que vous devez retenir

Loi 25 art. 10 — disponibilité comme dimension de sécurité.
Loi 25 art. 3.6 — perte de RP = incident.
ISO 27001 — A.5.29 + A.5.30 + A.8.13 + A.8.14.
CIS Controls v8 IG1 #11 — Data Recovery (5 sous-mesures).

Ce que ça implique pour votre organisation

Sans sauvegardes testées, l'article 10 est indéfendable face à la CAI.
Une perte de données déclenche les obligations de notification (art. 3.5, 3.6).
Sans copie immutable, un ransomware peut chiffrer production ET sauvegardes.

Ce que ça signifie concrètement pour vous

Une statistique largement citée : 82 % des PME non préparées ne survivent pas à un crash informatique majeur (à recouper avec source primaire).
Le CCCS publie un Ransomware Threat Outlook 2025-2027 — les PME sont la cible privilégiée.
Une attaque ransomware sans copie immutable = négocier ou perdre.

Cadre juridique et normatif

Loi 25 — Articles 10, 3.5, 3.6

Article 10 : mesures de sécurité raisonnables compte tenu de la sensibilité, finalité, quantité, répartition, support — incluant la disponibilité.

Article 3.5 : obligation de prendre les mesures nécessaires pour diminuer les risques en cas d'incident.

Article 3.6 : « perte » de RP est explicitement un incident de confidentialité — déclenche les obligations de notification.

ISO 27001:2022 Annex A

A.5.29 Information security during disruption
A.5.30 ICT readiness for business continuity
A.8.13 Information backup
A.8.14 Redundancy of information processing facilities

CIS Controls v8 IG1 — Control 11 Data Recovery

11.1 Établir et maintenir un processus de récupération
11.2 Effectuer des sauvegardes automatisées
11.3 Protéger les données de sauvegarde (chiffrement, isolement)
11.4 Établir et maintenir une instance isolée des sauvegardes (immutability / air gap)
11.5 Tester la récupération des données

CCCS — Ransomware playbook

Sauvegardes déconnectées de tous les réseaux, tests réguliers, plan de réponse documenté avec liste de contacts. Référence canadienne pour les PME.

Obligations concrètes

Appliquer la règle 3-2-1 au minimum (3 copies, 2 supports, 1 hors site)
Idéalement 3-2-1-1-0 (1 immutable + 0 erreur tests)
Définir RTO et RPO par service
Effectuer des tests de restauration mensuels (partiels) et annuels (complets)
Chiffrer en transit (TLS) et au repos (AES-256), clés gérées séparément
Documenter un plan de continuité avec liste de contacts et procédure de basculement

Erreur stratégique fréquente

Beaucoup d'organisations confondent synchronisation cloud (Google Drive, OneDrive) avec sauvegarde.

La synchronisation propage les chiffrements ransomware — une infection sur un poste contamine la copie cloud
La synchro n'a pas de versionning long terme par défaut — fichier supprimé = supprimé partout
Aucune isolation entre production et sauvegarde — pas de protection anti-ransomware

Une copie n'est pas une sauvegarde — une copie isolée et versionnée l'est.

Deux réalités possibles

✗ Sans stratégie

Sauvegardes irrégulières
Pas de copie immutable
Aucun test documenté
Synchro = sauvegarde
RTO/RPO non définis

✓ Avec stratégie

Règle 3-2-1-1-0 appliquée
Copie immutable / air gap
Tests mensuels + annuels documentés
Sauvegardes versionnées et isolées
RTO/RPO définis par service

Risques en cas de non-conformité

SAP / Amende pénale — articles 90.12 / 91 (jusqu'à 25 M$ ou 4 % CA mondial)
Notification obligatoire en cas de perte de RP (art. 3.5, 3.6) — enquête CAI
Coût opérationnel ransomware — sans sauvegardes immutables : négociation ou perte définitive
Continuité d'affaires — 82 % des PME non préparées ne se relèvent pas (statistique citée largement)

Concrètement pour une PME :

Chaque jour sans test de restauration récent est un risque opérationnel
Chaque sauvegarde non immutable est exposée au ransomware
Chaque RTO/RPO non défini transforme la crise en improvisation

Le coût vient de l'absence de tests — pas du dispositif.

Lien avec la gouvernance PRP

La continuité s'articule avec la Formation Gouvernance PRP, modules Conservation, destruction (durées et destruction sécurisée) et Registres obligatoires (registre des incidents). Ce module-ci se concentre sur la mécanique technique — sauvegardes, RTO/RPO, tests, chiffrement.

🛡️ Diagnostic rapide

Règle 3-2-1 appliquée + idéalement 1 copie immutable?
RTO/RPO définis par service?
Tests de restauration documentés dans les 12 derniers mois?

Analyser mon infrastructure numérique →

Concrètement

La continuité n'est pas optionnelle — c'est l'une des dimensions de l'article 10. Sans sauvegardes testées et au moins une copie immutable, votre organisation n'a pas de filet de sécurité contre les ransomwares ni les pertes de données. Et ces deux scénarios sont des incidents de confidentialité au sens de la Loi 25.

En résumé

Loi 25 art. 10 + 3.6 — disponibilité + perte = incident
ISO 27001 A.5.29 + A.8.13 + A.8.14
CIS Controls v8 IG1 #11 (5 sous-mesures)
Règle 3-2-1-1-0 + RTO/RPO + tests

Pour la version pratique

Voir le guide pratique →

Vérifier votre stratégie de continuité

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.