Formation Numérique · Module 4 · Guide pratique
Sauvegardes testées, immutables, anti-ransomware
Sauvegardes, ransomware et reprise — votre organisation tient combien de temps?
Une sauvegarde qui n'a jamais été restaurée n'est pas une sauvegarde — c'est un espoir. Voici la règle 3-2-1, la règle 3-2-1-1-0 post-ransomware, et la mécanique des RTO/RPO.
L'article 3.6 de la Loi 25 considère explicitement la perte de renseignements personnels comme un incident de confidentialité. La disponibilité fait donc partie des dimensions de sécurité exigées par l'article 10. Sans sauvegardes testées, vous ne pouvez ni récupérer les données après un ransomware, ni démontrer votre diligence. ISO 27001 (A.8.13) et CIS Controls v8 IG1 (#11) en font une priorité.
Définition
Une sauvegarde est une copie distincte des données qui peut être restaurée en cas de perte. La règle 3-2-1 est le standard de référence : 3 copies, 2 supports différents, 1 hors site. La règle 3-2-1-1-0 ajoute une copie immutable (verrouillée en écriture) et 0 erreur lors des tests.
La règle 3-2-1 et son évolution 3-2-1-1-0
3-2-1 (standard NIST/NCCoE) :
- 3 copies — 1 originale + 2 sauvegardes
- 2 supports différents — disque local + cloud, par exemple
- 1 copie hors site — nuage géographiquement distant ou disque entreposé ailleurs
3-2-1-1-0 (évolution post-ransomware) :
- 3-2-1 +
- 1 copie immutable ou air gap (WORM, S3 Object Lock, immutable storage Azure/AWS) — impossible à supprimer ou chiffrer même par admin compromis
- 0 erreur lors des tests de restauration
RTO et RPO — les deux objectifs à définir
RTO (Recovery Time Objective) : durée maximale acceptable d'interruption d'un service. Exemple : RTO 4h = on doit être de retour en ligne en 4h maximum.
RPO (Recovery Point Objective) : quantité de données acceptables à perdre, en temps. Exemple : RPO 1h = on accepte de perdre jusqu'à 1h de données.
À définir par service. La paie n'a pas le même RTO que le site marketing. Pour une PME typique : ERP/comptabilité RTO 4-8h, RPO 1-4h ; site web RTO 4-24h, RPO 24h.
Tests de restauration — la seule façon de savoir si ça marche
- Restauration partielle mensuelle — un fichier au hasard, vérifier qu'il s'ouvre et qu'il est intact
- Restauration de service complète — semestrielle ou annuelle
- Documentation — date, ce qui a été restauré, durée réelle, écart vs RTO/RPO cible, anomalies
Stratégie anti-ransomware (CCCS — Centre canadien pour la cybersécurité)
- Sauvegardes déconnectées de tous les réseaux (offline ou immutable)
- Tests réguliers des sauvegardes ET du processus de restauration
- Plan de réponse documenté avec liste de contacts
- Chiffrement en transit (TLS) et au repos (AES-256), clés gérées séparément
Ce que ça veut dire concrètement
- Sans sauvegardes testées, vous ne savez pas combien de temps il vous faut pour reprendre les opérations.
- Sans copie immutable, un ransomware peut chiffrer vos sauvegardes en même temps que votre production.
- Sans RTO/RPO définis, chaque incident devient une improvisation coûteuse.
Ce que ça signifie concrètement pour un dirigeant
- Une perte de données est un incident de confidentialité (art. 3.6) — déclenche les obligations de notification CAI.
- Des sauvegardes non testées découvertes le jour d'un crash sont un préjudice avéré et démontrable.
- Une attaque ransomware sans copie immutable signifie négocier ou perdre — pas de troisième option.
Une sauvegarde non testée n'est pas une sauvegarde — c'est un espoir.
🎯 Diagnostic rapide
- Appliquez-vous la règle 3-2-1 (3 copies, 2 supports, 1 hors site)?
- Avez-vous au moins une copie immutable ou hors ligne (anti-ransomware)?
- Avez-vous testé une restauration au moins une fois dans les 12 derniers mois, avec date documentée?
Si non à une seule, votre disponibilité n'est pas démontrable.
Quatre erreurs fréquentes
- « Google Drive synchronisé = sauvegarde. » Faux. Une synchronisation propage les chiffrements ransomware. Une vraie sauvegarde est versionnée et isolée.
- « On a des sauvegardes, on est protégés. » Faux tant qu'elles ne sont pas testées. Beaucoup d'organisations découvrent que leurs sauvegardes sont corrompues le jour critique.
- « Le SMS / l'email m'avertira en cas de problème. » Faux. Beaucoup d'incidents de sauvegardes silencieux passent inaperçus pendant des mois.
- « On verra ça quand on aura un incident. » Trop tard. Le moment d'avoir une stratégie de sauvegarde est avant — pas pendant la crise.
Une sauvegarde non testée n'est pas une sauvegarde — c'est un espoir.
Sans stratégie / Avec stratégie
✗ Sans stratégie
- Sauvegardes irrégulières ou absentes
- Pas de copie immutable
- Aucun test de restauration
- RTO/RPO non définis
- Synchro cloud confondue avec sauvegarde
✓ Avec stratégie
- Règle 3-2-1-1-0 appliquée
- Copie immutable / air gap
- Tests mensuels + semestriels documentés
- RTO/RPO par service
- Chiffrement transit + repos, clés séparées
Ce que la Loi 25 et les standards impliquent
- Loi 25 art. 10 — disponibilité comme dimension de sécurité (CAI 2026)
- Art. 3.6 — perte de RP = incident de confidentialité
- ISO 27001 — A.5.29 (continuité), A.5.30 (préparation TIC), A.8.13 (sauvegarde), A.8.14 (redondance)
- CIS Controls v8 IG1 #11 — Data Recovery (5 sous-mesures dont copie isolée et tests)
- CCCS — Ransomware playbook (sauvegardes offline, tests, plan de réponse)
Concrètement pour une PME :
- Chaque jour sans sauvegarde testée est un risque opérationnel
- Chaque sauvegarde sans copie immutable est exposée au ransomware
- Chaque RTO/RPO non défini est une improvisation coûteuse en cas d'incident
Le coût vient de l'absence de tests — pas du dispositif lui-même.
En résumé
- Règle 3-2-1-1-0 : 3 copies, 2 supports, 1 offsite, 1 immutable, 0 erreur tests
- RTO/RPO définis par service
- Tests mensuels (partiel) + annuels (complet) documentés
- Chiffrement transit + repos, clés séparées
Pour aller plus loin
Voir les exigences légales et standards →