La règle 3-2-1 expliquée en 3 lignes
- 3 copies de vos données critiques (l'original + 2 sauvegardes).
- 2 supports différents (disque dur + NAS, ou serveur + cloud).
- 1 copie hors site, déconnectée — c'est la copie qui survit au ransomware et à l'incendie.
En 2026, on ajoute le mot clé immuable : la sauvegarde immuable ne peut pas être modifiée ni supprimée pendant une période fixée, même par un administrateur compromis. C'est la défense de référence contre le ransomware.
Définir RPO et RTO avant de choisir un outil
Deux questions que tout dirigeant doit pouvoir répondre :
- RPO (Recovery Point Objective) : combien d'heures de travail puis-je perdre ? 1 heure ? 24 heures ? Cela définit la fréquence des sauvegardes.
- RTO (Recovery Time Objective) : combien de temps puis-je rester sans le système ? 4 heures ? 2 jours ? Cela définit le dimensionnement de la solution de restauration.
En PME type, on cible souvent RPO = 24 h (sauvegarde quotidienne) et RTO = 24-48 h (restauration sur un serveur de secours ou un cloud). Pour les fichiers vraiment critiques, on descend à RPO = 1 h via réplication continue.
Les outils qui marchent en PME française
Pas besoin d'investir dans un outil entreprise lourd. Trois familles de solutions couvrent 90 % des PME :
- Veeam Backup & Replication : standard du marché, version Community gratuite jusqu'à 10 charges de travail, supports cloud souverains (OVHcloud, Scaleway).
- Synology Active Backup for Business : si vous avez déjà un NAS Synology, gratuit avec votre matériel, couvre postes Windows, serveurs, VM, M365.
- Restic / Borg : open source, idéal pour les serveurs Linux et les budgets serrés. Demande un peu plus d'expertise.
Pour la copie hors site, privilégier un fournisseur français : OVHcloud Backup Storage, Scaleway Object Storage ou Infomaniak Swiss Backup. Coût typique pour une PME : 10 à 50 €/mois selon le volume.
Le test trimestriel : 90 minutes par trimestre
Voici la procédure de test à mener tous les 3 mois. Bloquez 90 minutes au calendrier, faites-le sérieusement :
- Choisir un fichier au hasard sauvegardé il y a 30 jours. Pas un fichier facile, un vrai fichier métier.
- Restaurer dans un dossier de test (jamais en écrasement de l'original).
- Vérifier l'intégrité : ouvrir le fichier, contrôler que le contenu est correct.
- Mesurer le temps écoulé du début à la restauration utilisable. C'est votre RTO réel.
- Tester un cas grave une fois par an : restaurer une VM complète sur un serveur vierge, redémarrer et vérifier que les services tournent.
- Documenter : date du test, fichier choisi, durée, résultat, problèmes rencontrés. Une page suffit.
Si vous ne pouvez pas faire ce test, c'est que votre solution ne marche probablement pas. Mieux vaut le découvrir un jeudi de mai qu'un samedi de décembre après un ransomware.
Les erreurs qu'on voit le plus en audit
- Sauvegarde sur le même serveur que l'original. Au premier ransomware, tout disparaît.
- Sauvegarde sur un disque USB branché en permanence : le ransomware le chiffre aussi. Il faut une déconnexion physique.
- Identifiants admin partagés entre la production et les sauvegardes : si l'attaquant a l'admin, il efface tout.
- Aucun monitoring : la sauvegarde plante depuis 4 mois et personne ne le sait.
- Sauvegarde testée uniquement à l'installation : après 18 mois, plus rien ne fonctionne et c'est l'incident qui le révèle.
À retenir
Ce que Scryptoura fait pour vous
Notre offre Infrastructure & Systèmes couvre la mise en place complète du 3-2-1 immuable, le choix d'outils adaptés à votre taille, et le programme de tests trimestriels. Le Diagnostic Découverte vérifie l'état actuel de vos sauvegardes en première intention.