Sauvegarde informatique PME : guide complet 3-2-1
Sauvegarde locale, cloud, hybride : quel plan de sauvegarde pour votre PME ? Règle 3-2-1, fréquence, tests de restauration — tout ce qu'il faut savoir.
La règle d’or : 3-2-1
Si vous ne retenez qu’une chose de cet article, c’est la règle 3-2-1 :
- 3 copies de vos données
- sur 2 supports différents (NAS + cloud, par exemple)
- dont 1 copie hors site (cloud externalisé ou site distant)
Cette règle, recommandée par l’ANSSI, protège contre les trois scénarios courants : la panne matérielle, le ransomware qui chiffre le réseau local, et le sinistre physique (incendie, dégât des eaux).
Beaucoup de PME pensent avoir une stratégie de sauvegarde parce qu’elles ont un NAS. Un NAS, c’est un début — pas une stratégie. La règle 3-2-1 est un minimum, pas un idéal. Simple à mémoriser, mais sa mise en oeuvre demande une réflexion sérieuse sur chaque type de données et chaque scénario de perte.
Pourquoi la sauvegarde locale seule ne protège pas votre PME ?
Un NAS Synology dans le bureau, c’est bien. Mais si un ransomware chiffre tout le réseau, le NAS est touché aussi. La sauvegarde locale est utile pour la restauration rapide (un fichier supprimé par erreur, un poste en panne), mais elle ne protège pas contre les attaques ciblées.
Les ransomwares modernes parcourent les lecteurs réseau et chiffrent tout ce qu’ils trouvent — y compris les partages NAS montés comme lecteur réseau. Si votre NAS est accessible depuis les postes de travail via un lecteur réseau mappé (Z: ou autre), il est vulnérable. La parade : des sauvegardes isolées du réseau principal — snapshot immuable, support déconnecté après chaque cycle, ou copie cloud avec protection contre la suppression.
Un NAS correctement configuré avec des snapshots Synology et la protection immutable activée offre une meilleure résistance. Mais cela nécessite une configuration explicite — ce n’est pas le comportement par défaut.
Sauvegarde cloud : le complément indispensable
Acronis Cyber Protect, Veeam, ou la sauvegarde native Microsoft 365 : le cloud assure la copie hors site. Avantages : chiffrement en transit et au repos, rétention longue durée, restauration granulaire (un fichier, une boîte mail, un serveur entier).
Coût moyen : 3 à 8 € par poste et par mois pour une solution managée.
Un point souvent ignoré : Microsoft 365 ne sauvegarde pas vos données. Microsoft assure la disponibilité de la plateforme — pas la récupération de vos e-mails supprimés au-delà de 30 jours, ni la restauration de vos fichiers SharePoint écrasés par erreur. La politique de rétention de Microsoft est claire : la responsabilité de la sauvegarde des données appartient à l’entreprise, pas à l’éditeur. Une solution tierce comme Acronis Backup for Microsoft 365 ou Veeam Backup for Microsoft 365 est nécessaire pour une protection réelle.
RPO et RTO : deux notions à connaître avant de choisir votre solution
Deux indicateurs définissent ce que vous pouvez accepter en cas d’incident — et ils doivent être posés avant toute décision technique :
RPO (Recovery Point Objective) — Jusqu’où dans le passé pouvez-vous remonter ? Si votre sauvegarde est quotidienne et qu’un incident survient à 17h, vous perdez une journée de travail. Un RPO de 4 heures signifie que vous ne pouvez pas perdre plus de 4 heures de données. Pour les bases de données métier, un RPO de 15 à 30 minutes est souvent la norme.
RTO (Recovery Time Objective) — Combien de temps pour redémarrer ? Si votre serveur tombe et que la restauration prend 8 heures, votre RTO est de 8 heures. Pour une PME qui traite des commandes en temps réel, c’est inacceptable. Pour une petite structure, un RTO de 4 à 24 heures est souvent réaliste selon la solution choisie.
Ces deux chiffres doivent être définis avant de choisir une solution — pas après. Ils déterminent la fréquence des sauvegardes, le type de technologie (image complète, incrémentale, snapshot), et le budget.
Le scénario ransomware : ce qui se passe vraiment
Un salarié ouvre une pièce jointe. En 20 minutes, tous les fichiers du serveur et des postes partagés sont chiffrés. Le message apparaît : « Payez 15 000 € en Bitcoin ou vos données sont perdues. »
C’est le scénario type d’une attaque ransomware sur une PME. L’ANSSI recense plusieurs centaines d’attaques par ransomware chaque année en France, avec une cible préférentielle sur les PME et les collectivités locales. Le coût moyen d’une attaque pour une PME dépasse 30 000 € — entre la rançon (quand elle est payée), le coût de la reconstruction, et l’arrêt d’activité.
Sans sauvegarde isolée et testée, les options sont limitées : payer ou tout reconstruire de zéro. Avec une sauvegarde immuable hors réseau datant de la veille, la situation change radicalement — restauration en quelques heures, sans négociation avec les attaquants.
La sauvegarde est la seule protection qui fonctionne après une attaque. Les antivirus, les firewalls, les formations — tout cela réduit le risque, mais rien n’est à 100 %. La sauvegarde, elle, garantit que même si tout le reste échoue, vous pouvez repartir.
Les chiffres de l’ANSSI confirment l’ampleur du phénomène : dans son Panorama de la cybermenace 2024, l’agence rapporte une hausse de 30 % des attaques par ransomware par rapport à 2023, avec les PME et ETI comme cibles principales. Le coût médian d’une attaque pour une PME française atteint 50 000 € en incluant l’arrêt d’activité, la reconstruction des systèmes et les pertes commerciales. 60 % des PME victimes d’une cyberattaque majeure déposent le bilan dans les 18 mois suivants (source : Sénat, rapport sur la cybersécurité des entreprises, 2024).
Cas concret : un cabinet comptable à La Réunion
Pour rendre ces concepts tangibles, voici un scénario réel (anonymisé) que nous avons accompagné.
Un cabinet comptable de 8 postes à Saint-Denis (La Réunion) stockait l’ensemble de ses dossiers clients sur un NAS Synology, avec une sauvegarde sur disque dur externe branchée en permanence. Pas de copie cloud, pas de test de restauration, pas de sauvegarde des boîtes mail Microsoft 365.
Un matin de janvier, un collaborateur ouvre une pièce jointe infectée. En 15 minutes, le ransomware chiffre le NAS et le disque externe — tous deux accessibles depuis le réseau. Les dossiers de 120 clients sont inaccessibles. Le cabinet est paralysé pendant 5 jours ouvrés.
Ce qui a manqué :
- Une copie hors site (cloud) isolée du réseau local
- Des snapshots immuables sur le NAS (fonctionnalité disponible mais non activée)
- Un test de restauration qui aurait révélé que le disque externe n’était pas déconnecté après chaque cycle
- Une sauvegarde des données Microsoft 365 (mails, calendriers, contacts)
Ce qu’un plan 3-2-1 aurait changé : la restauration depuis la copie cloud aurait pris 4 à 6 heures au lieu de 5 jours. Le coût total de l’incident (perte de productivité, reconstruction, pénalités de retard clients) a dépassé 25 000 €. Un plan de sauvegarde complet aurait coûté 150 € par mois.
Ce type de scénario se reproduit chaque semaine dans les PME françaises. Les cabinets médicaux, les études notariales, les PME du BTP — toute structure qui manipule des données clients sensibles est exposée, comme en témoignent nos clients qui ont fait le choix de se protéger avant l’incident.
RGPD et sauvegardes : ce que la loi exige concrètement
Le RGPD n’impose pas de durée de sauvegarde universelle — mais il encadre strictement la conservation des données personnelles. Pour une PME, cela a des conséquences directes sur la politique de sauvegarde.
Durée de conservation limitée : vous ne pouvez pas conserver des données personnelles indéfiniment. Si vos sauvegardes contiennent des données clients, RH ou patients, la politique de rétention doit être alignée avec vos obligations légales. Un cabinet comptable qui conserve des sauvegardes de fiches de paie sur 10 ans sans politique documentée s’expose à un risque RGPD. Un cabinet médical qui sauvegarde des dossiers patients sans durée de rétention définie est en infraction.
Sécurité des sauvegardes : la CNIL exige que les données personnelles soient protégées — y compris dans les sauvegardes. Chiffrement obligatoire, accès restreint, traçabilité des restaurations. Un prestataire qui gère vos sauvegardes doit être en mesure de signer un DPA (Data Processing Agreement).
Localisation des données : si vous utilisez une sauvegarde cloud, vérifiez que les données sont hébergées dans l’Union Européenne. Les solutions américaines (AWS, Azure, Google Cloud) proposent des régions UE — mais le choix doit être explicite. Un hébergement hors UE sans garanties contractuelles adéquates (clauses contractuelles types) peut constituer un transfert de données non conforme.
Droit à l’effacement : un client ou un salarié peut exercer son droit à l’effacement (article 17 du RGPD). Si ses données personnelles figurent dans vos sauvegardes, vous devez être en mesure de documenter pourquoi elles y figurent encore (obligation légale de conservation, par exemple) ou de les supprimer. En pratique, les sauvegardes sont souvent exemptées de l’effacement immédiat si une politique de rétention documentée et limitée dans le temps est en place.
Notification des violations : en cas de fuite de données via une sauvegarde compromise (vol de disque externe, sauvegarde cloud mal sécurisée), le RGPD impose une notification à la CNIL sous 72 heures et aux personnes concernées si le risque est élevé. Un prestataire d’infogérance intègre cette procédure dans son plan de réponse aux incidents.
Ces obligations ne sont pas des contraintes théoriques : elles ont un impact direct sur le choix de vos supports, la localisation de vos données cloud (UE ou hors UE), et la durée de vos rétentions. Un audit informatique couvre systématiquement ce volet conformité.
Comment savoir si vos sauvegardes fonctionnent vraiment ?
43 % des PME qui subissent une perte de données majeure ne rouvrent jamais (source : Chambre de Commerce UK, 2024). Pourtant, la plupart des entreprises ne testent jamais la restauration de leurs sauvegardes.
Dans le cadre d’un contrat d’infogérance ou de maintenance informatique, ECLAUD IT planifie un test de restauration complète tous les trimestres. Le résultat est documenté et partagé avec le client.
Pourquoi tester si on voit les sauvegardes se lancer chaque nuit ? Parce qu’une sauvegarde peut se terminer sans erreur et être pourtant inutilisable. Fichiers corrompus, jeu de sauvegarde incomplet, version incompatible avec le système cible — les points de défaillance sont nombreux. La seule façon de savoir si une sauvegarde fonctionne, c’est de la restaurer sur un environnement de test et de vérifier que les données sont lisibles et cohérentes.
Un test trimestriel est le minimum. Pour les données critiques (base de données métier, fichiers comptables), un test mensuel est préférable.
Plan de sauvegarde type pour une PME de 20 postes
| Élément | Solution | Fréquence |
|---|---|---|
| Postes de travail | Sauvegarde image + fichiers | Quotidienne |
| Serveur fichiers | NAS Synology + réplication cloud | Temps réel |
| Microsoft 365 | Acronis Backup for M365 | Quotidienne |
| Base de données métier | Snapshot + export SQL | 2x/jour |
| Test de restauration | Restauration complète simulée | Trimestrielle |
Ce tableau est un point de départ. Les fréquences varient selon votre volume de données, votre RPO cible et votre budget. Pour une structure à forte activité transactionnelle, les snapshots de base de données peuvent être horaires.
Par où commencer ?
Un audit de votre infrastructure permet d’identifier les données critiques, de cartographier les sauvegardes existantes, et de mettre en place un plan 3-2-1 adapté à votre budget. Comptez 2 à 3 heures pour un état des lieux complet. Notre checklist d’audit informatique PME détaille les 10 points vérifiés systématiquement lors de cet audit — dont la politique de sauvegarde.
Voir aussi : Infogérance PME — les 5 signes qu’il est temps d’y passer, Externaliser la maintenance informatique et Télétravail sécurisé : le guide IT pour les PME
Questions fréquentes
Quelle est la fréquence idéale de sauvegarde pour une PME ?
La fréquence dépend de votre RPO — la perte de données maximale acceptable. Pour la majorité des PME, une sauvegarde quotidienne des postes et des fichiers, combinée à des snapshots toutes les 2 à 4 heures pour les bases de données métier, couvre l’essentiel. Si vous traitez des commandes ou des données financières en temps réel, une réplication quasi-continue est préférable. L’important : définir le RPO avant de choisir la fréquence, pas l’inverse.
La sauvegarde native Microsoft 365 est-elle suffisante ?
Non. Microsoft garantit la disponibilité de la plateforme, pas la récupération de vos données. Les e-mails supprimés sont récupérables pendant 30 jours, les fichiers SharePoint écrasés selon une politique de versions limitée. Au-delà, sans solution tierce (Acronis, Veeam, Spanning), vos données ne sont pas récupérables. La règle s’applique à tous les SaaS : le fournisseur n’est pas votre prestataire de sauvegarde.
Combien coûte une solution de sauvegarde managée pour une PME ?
Pour une PME de 10 à 30 postes, comptez entre 3 et 8 € par poste et par mois pour une solution cloud managée, plus 50 à 150 € par mois pour la supervision et les tests de restauration selon le niveau de service. Une solution complète (NAS local + réplication cloud + Microsoft 365 + tests trimestriels) se situe généralement entre 200 et 500 € HT par mois pour une structure de 20 postes. C’est nettement inférieur au coût d’une perte de données majeure.
Que faire en cas d’attaque ransomware ?
Première étape : isoler immédiatement les machines infectées du réseau — déconnectez les câbles réseau et désactivez le Wi-Fi. Ne payez pas la rançon avant d’avoir évalué vos options de restauration. Contactez votre prestataire IT en urgence pour identifier la dernière sauvegarde saine. Si vous avez une sauvegarde immuable hors réseau, la restauration peut démarrer en quelques heures. Sans sauvegarde, les options se limitent à des outils de déchiffrement (rares et spécifiques) ou à la reconstruction complète. Signalez l’incident à l’ANSSI via le formulaire en ligne — c’est recommandé et confidentiel.
