Stabiliser le numérique de votre PME :
règle 3-2-1-1-0, MFA centrale, hygiène collective

Les sauvegardes existent dans à peu près toutes les PME — mais quasiment aucune n'est testée. L'authentification multi-facteur est activée pour certains comptes — rarement pour tous. La charte d'utilisation est rédigée — mais souvent trop longue pour être lue. Ce guide vous donne le standard de référence (la règle 3-2-1-1-0, popularisée par Veeam), les outils utilisables par une PME de 5 à 30 personnes, et les pièges qui transforment une bonne intention en risque réel.

La règle 3-2-1-1-0 — le standard de sauvegarde 2026

Formulée officiellement par Veeam — l'un des éditeurs leaders en sauvegarde pour entreprises — la règle 3-2-1-1-0 est l'évolution de l'ancienne règle 3-2-1. Elle se lit comme suit :

Le « 1 immutable » est l'évolution clé par rapport à l'ancienne règle 3-2-1. Les rançongiciels modernes ciblent spécifiquement les sauvegardes — ils chiffrent ou suppriment toutes les sauvegardes accessibles avant de chiffrer les données productives. Sans copie immutable, la sauvegarde « théorique » devient inutilisable au moment précis où elle servirait.

Outils de sauvegarde pour une PME 5-30 employés

Tour d'horizon des solutions matures en 2026 — sans recommandation unique, parce que le bon outil dépend de votre stack actuelle :

• Veeam Data Platform Essentials — solution commerciale référence pour PME virtualisées. Immutabilité native, vérification automatique des restaurations (technologie SureBackup). Investissement modéré, support solide.
• Synology Hyper Backup + DSM 7.2 Immutable Snapshots — pour les PME qui ont un NAS Synology. La version DSM 7.2 a standardisé l'immutabilité WORM (Write Once, Read Many — données écrites une seule fois et plus jamais modifiables), incluse sans surcoût.
• BorgBackup — logiciel libre très performant en compression, principalement pour serveurs Linux. Gratuit, exige une expertise technique pour le déployer correctement.
• Restic — logiciel libre multi-plateforme, supporte nativement les stockages cloud (S3, Backblaze B2). Chiffrement obligatoire intégré. Bon choix pour qui veut un offsite cloud canadien automatisé.
• Duplicati 2 — logiciel libre avec interface Web, pour les postes Windows, macOS et Linux. Bon outil de sauvegarde individuelle, moins adapté à une stratégie d'entreprise complète.

Stack 3-2-1-1-0 réaliste pour PME québécoise : un NAS Synology dans vos locaux (avec immutable snapshots) + un offsite via Restic vers un cloud canadien (S3 Canada, Backblaze B2 Canada ou un fournisseur québécois). Investissement initial de quelques milliers de dollars matériel, plus un coût mensuel modeste pour le stockage cloud. Validation par votre partenaire TI obligatoire avant déploiement.

Tests de restauration — la pratique qui transforme une sauvegarde en assurance

Une sauvegarde non testée n'est pas une sauvegarde — c'est un espoir. NIST CSF 2.0 (le cadre américain de cybersécurité — version 2.0 publiée en 2024) a élevé le test de sauvegarde au rang d'exigence formelle, plus seulement de bonne pratique recommandée. Cadence indicative 2026 :

• Systèmes critiques mission-critical (base clients, comptabilité, applications de facturation) — test mensuel de restauration complète
• Systèmes importants / opérationnels — test trimestriel
• Systèmes non-critiques — test semestriel
• Plan de reprise complet (test DR) — au minimum annuel, idéalement à un moment où votre activité tolère un test grandeur nature

Tout test échoué doit être traité comme un incident prioritaire et corrigé avant le cycle suivant. La discipline du test est ce qui distingue une stratégie de sauvegarde qui protège vraiment d'une stratégie qui n'existe que sur le papier.

Authentification multi-facteur centrale — un seul point de contrôle

L'authentification multi-facteur (MFA — Multi-Factor Authentication, la double vérification d'identité au-delà du mot de passe) ne sert vraiment que si elle est activée pour tous les comptes professionnels, pas seulement pour les administrateurs. Et elle est viable à long terme uniquement si elle est gérée de façon centrale — un seul point pour ajouter un employé, retirer un employé partant, vérifier qui s'est connecté.

Deux plateformes dominent le marché des PME en 2026 :

• Microsoft Entra ID (anciennement Azure Active Directory) — si votre PME utilise Microsoft 365, Entra ID est le hub naturel. Centralise l'authentification, la MFA, les politiques d'accès conditionnel, le SSO (Single Sign-On — connexion unique qui ouvre l'accès à plusieurs applications avec un seul mot de passe) pour Microsoft 365 et des centaines d'applications tierces.
• Identité Google Workspace — si votre PME utilise Google Workspace, le service d'identité Google centralise les mêmes fonctions, avec une intégration tierce via le protocole SAML.

Pour les PME qui veulent rester en self-hosted ou en stack québécoise, des solutions libres existent — Keycloak et Authentik sont les deux références de logiciel libre pour l'authentification centralisée — mais leur déploiement demande une expertise technique.

Politique numérique d'entreprise — la charte que les employés peuvent lire

La Loi 25 article 3.2 oblige une PME à publier ses politiques de gouvernance, y compris les rôles et responsabilités du personnel sur le cycle de vie des renseignements personnels. Trop souvent, cette obligation devient un document de 30 pages que personne ne lit. L'approche utile : une charte d'utilisation courte (1-2 pages) qui couvre les essentiels :

• Comptes professionnels vs comptes personnels — interdiction d'utiliser une adresse personnelle pour traiter des renseignements de l'entreprise
• Outils approuvés (liste blanche des applications SaaS) et procédure pour demander l'ajout d'un nouvel outil
• Conditions d'usage des appareils personnels (BYOD — Bring Your Own Device) : chiffrement, possibilité d'effacement à distance, séparation des données
• Wi-Fi public et utilisation du VPN d'entreprise
• Gestion des mots de passe et MFA — renvoi vers le gestionnaire d'entreprise (voir module 5)
• Règle sur l'intelligence artificielle générative — aucune donnée client ni renseignement personnel dans un LLM grand public non validé
• Procédure de signalement d'incident — qui, quand, comment
• Sanctions en cas de non-respect, proportionnées à la gravité

Cette charte se diffuse en onboarding, se relit avec l'équipe une fois par année, et s'ajuste au fil des situations rencontrées. Elle est utile parce qu'elle est lue — donc parce qu'elle est courte.

Hygiène collective — les trois mécanismes qui font la différence

Au-delà de la sauvegarde, de la MFA et de la charte, trois pratiques d'hygiène séparent une infrastructure fragile d'une infrastructure défendable :

• Qui peut installer quoi — règle simple : les utilisateurs n'installent pas, l'administrateur ou un processus de demande approuve. Évite l'accumulation d'applications douteuses et facilite la cartographie du poste.
• Gestion des départs — procédure formalisée : désactivation immédiate des accès, récupération du matériel, transfert des données professionnelles, archivage de la boîte courriel selon la politique de conservation.
• Procédure de révocation rapide — au minimum, savoir comment couper un accès en moins de 30 minutes en cas de soupçon de compromission. Plus la procédure est testée, plus elle est utilisable au moment où elle servira.

Pièges à éviter

En résumé

La règle 3-2-1-1-0 vous donne le standard de sauvegarde. La MFA centrale vous donne le contrôle d'accès. La charte courte vous donne l'engagement de l'équipe. Trois mécanismes que vous pouvez exiger de votre TI ou de votre fournisseur — vous n'avez pas à les implanter techniquement vous-même, mais vous devez les commander, en valider le fonctionnement par des tests, et les faire vivre dans le temps. Le module 4 enchaîne avec la grille pour évaluer un fournisseur avant de lui confier ces responsabilités.