Un lundi matin, vos serveurs affichent un message de rançon : tous les fichiers sont chiffrés, et les sauvegardes aussi. Ce scénario, des milliers de PME françaises l’ont vécu, car les attaquants ne se contentent plus de chiffrer la production : ils détruisent d’abord les copies de secours. La sauvegarde immuable est aujourd’hui la parade la plus efficace contre cette stratégie. Une copie immuable ne peut être ni modifiée, ni supprimée, ni chiffrée pendant une durée définie, même par un administrateur dont le compte a été compromis. Ce guide explique le principe, les technologies disponibles (S3 Object Lock, bandes, snapshots verrouillés), la règle 3-2-1-1-0 et la façon de bâtir un plan de reprise crédible pour une PME.
En bref
- Les ransomwares modernes cherchent et détruisent les sauvegardes avant de chiffrer la production.
- Une sauvegarde immuable (WORM) ne peut être ni altérée ni effacée pendant une période de rétention verrouillée.
- Appliquez la règle 3-2-1-1-0 : 3 copies, 2 supports, 1 hors site, 1 immuable ou hors ligne, 0 erreur de restauration testée.
- Une sauvegarde jamais testée n’est pas une sauvegarde : planifiez des restaurations d’essai régulières.
Pourquoi les ransomwares ciblent d’abord vos sauvegardes
Un attaquant qui chiffre vos données sans toucher aux sauvegardes n’obtiendra jamais de rançon : il suffit de restaurer. Les groupes cybercriminels l’ont compris depuis longtemps. Une fois entrés dans le réseau, ils passent souvent plusieurs jours ou semaines en reconnaissance : repérage du serveur de sauvegarde, vol des identifiants d’administration, suppression des copies, désactivation des tâches planifiées. Ce n’est qu’après avoir neutralisé votre filet de sécurité qu’ils déclenchent le chiffrement. Conséquence directe : une sauvegarde accessible en écriture depuis le réseau, avec les mêmes comptes d’administration que la production, ne protège pratiquement plus de rien face à une attaque préparée.
Qu’est-ce qu’une sauvegarde immuable ?
Une sauvegarde immuable est une copie de données qui, une fois écrite, ne peut plus être modifiée, écrasée ni supprimée avant l’expiration d’une durée de rétention définie à l’avance. Ce verrou s’applique à tout le monde : l’utilisateur, le logiciel de sauvegarde, mais aussi l’administrateur et donc le pirate qui aurait volé ses identifiants. L’immutabilité est garantie par le support ou le système de stockage lui-même, pas par une simple permission logicielle qu’un attaquant pourrait retirer. C’est cette caractéristique qui en fait le dernier rempart : même en cas de compromission totale du système d’information, la copie verrouillée reste intacte et restaurable.
Le principe WORM : écrire une fois, lire plusieurs fois
L’immutabilité repose sur le principe WORM (Write Once, Read Many) : on écrit une seule fois, on lit autant de fois que nécessaire, mais on ne réécrit jamais. Historiquement, ce principe était physique : CD-R, DVD-R ou bandes protégées en écriture. Aujourd’hui, il est surtout logique : le système de stockage refuse toute commande de modification ou de suppression sur un objet verrouillé, quelle que soit l’autorité du compte qui la demande. Le WORM est d’ailleurs utilisé depuis des années dans les secteurs réglementés (banque, santé, archivage légal) : la lutte anti-ransomware lui a simplement donné une seconde jeunesse auprès des PME.
S3 Object Lock : l’immutabilité dans le cloud
Dans le cloud, la référence est S3 Object Lock, un mécanisme proposé par Amazon S3 et repris par la plupart des stockages objet compatibles (Wasabi, Backblaze B2, OVHcloud, Scaleway, MinIO…). Chaque objet déposé peut être verrouillé pour une durée donnée, par exemple 30 jours. Deux modes existent : le mode governance, contournable par certains comptes à privilèges spéciaux, et le mode compliance, que personne ne peut lever avant l’échéance, pas même le fournisseur. Pour une protection anti-ransomware réelle, c’est le mode compliance qu’il faut retenir. Les logiciels de sauvegarde du marché (Veeam, Acronis, Nakivo…) savent écrire nativement vers ces dépôts verrouillés.
Les bandes LTO : l’air gap physique par excellence
La bande magnétique LTO paraît désuète, elle reste pourtant redoutablement efficace. Une cartouche sortie de son lecteur et rangée dans une armoire ignifuge, ou chez un prestataire d’externalisation, est physiquement inaccessible à tout attaquant distant : c’est l’air gap au sens strict. Les cartouches récentes offrent plusieurs téraoctets natifs pour un coût au téraoctet parmi les plus bas du marché, et disposent d’un mode WORM matériel. Contraintes à prévoir : un lecteur relativement coûteux à l’achat, une manipulation humaine régulière et une discipline stricte de rotation et d’étiquetage des cartouches.
Snapshots verrouillés et NAS durcis
Troisième famille : les snapshots immuables proposés par les NAS et baies de stockage récents (Synology, QNAP, TrueNAS, Dell, HPE…). Le système prend des instantanés réguliers du volume et les verrouille pour une durée choisie : ni un utilisateur, ni un ransomware ayant chiffré les partages ne peut les effacer. C’est une protection rapide à mettre en place et très confortable pour restaurer en quelques minutes. Attention toutefois : le snapshot vit sur le même matériel que les données. Il protège contre le chiffrement logique, pas contre l’incendie, le vol ou la panne de la baie. Il complète une copie externalisée, il ne la remplace pas.
La règle 3-2-1-1-0, nouveau standard de la sauvegarde
La règle classique 3-2-1 (trois copies, deux supports différents, une copie hors site) a évolué en 3-2-1-1-0 pour répondre aux ransomwares :
- 3 copies de vos données au minimum (la production comprise) ;
- 2 supports ou technologies de stockage différents ;
- 1 copie externalisée, hors de vos locaux ;
- 1 copie immuable ou hors ligne (Object Lock, bande sortie du lecteur, snapshot verrouillé) ;
- 0 erreur constatée lors des tests de restauration réguliers.
Le « 1 » supplémentaire et le « 0 » final font toute la différence : ils garantissent qu’il existe une copie inattaquable et que celle-ci fonctionne vraiment.
L’air gap : déconnecter pour mieux protéger
L’air gap désigne une rupture entre la sauvegarde et le réseau : ce qui n’est pas connecté ne peut pas être chiffré à distance. Il peut être physique (cartouche LTO dans un coffre, disque USB débranché et rangé) ou logique (dépôt cloud isolé, accessible uniquement par un compte dédié avec des clés distinctes de l’annuaire d’entreprise, éventuellement ouvert seulement pendant les fenêtres de sauvegarde). L’important est qu’une compromission de votre domaine Windows, y compris du compte administrateur, ne donne aucun chemin d’accès en écriture vers cette copie. Air gap et immutabilité se combinent : l’un coupe le chemin, l’autre verrouille la destination.
RPO et RTO : deux indicateurs à fixer avant de choisir
Deux acronymes structurent toute stratégie de sauvegarde. Le RPO (Recovery Point Objective) est la perte de données maximale acceptable : un RPO de 24 heures signifie qu’au pire, vous perdez une journée de travail. Le RTO (Recovery Time Objective) est la durée maximale d’interruption tolérable avant la reprise d’activité. Un cabinet de dix personnes peut souvent tolérer un RTO de 48 heures ; un site e-commerce, rarement plus de quelques heures. Ces deux valeurs, fixées par la direction et non par l’informatique, déterminent la fréquence des sauvegardes, les supports à retenir et le budget cohérent avec l’enjeu réel.
Tester ses restaurations : la seule preuve qui compte
Une sauvegarde n’a de valeur que si elle se restaure. Les récits d’entreprises découvrant, le jour de la crise, des sauvegardes vides, corrompues ou incomplètes sont légion. Instaurez un rituel simple : chaque mois, restaurez réellement quelques fichiers et une base de données vers un environnement de test ; chaque semestre, simulez une reprise complète d’un serveur critique et chronométrez-la. Consignez les résultats (durée, écarts, anomalies) dans un registre. C’est le « 0 » de la règle 3-2-1-1-0 : zéro erreur constatée lors des tests. Ce chronométrage validera aussi, ou invalidera, le RTO promis à la direction.
Intégrer la sauvegarde immuable au plan de reprise d’activité
La sauvegarde immuable est une brique du plan de reprise d’activité (PRA), pas un plan à elle seule. Le PRA documente qui décide quoi en cas de sinistre : ordre de restauration des applications, coordonnées des prestataires, procédure de communication aux clients, poste de travail de secours. Point crucial : conservez une copie papier ou hors ligne du PRA et des mots de passe de secours, car un document stocké sur le serveur chiffré ne sert à rien. Dans les PME multi-sites du bâtiment ou du négoce, notre équipe intègre systématiquement ce volet dans la gestion informatique des PME du BTP que nous prenons en charge.
Les erreurs courantes qui ruinent une stratégie de sauvegarde
Les mêmes causes produisent les mêmes sinistres. Voici les pièges les plus fréquents constatés en PME :
- La sauvegarde connectée en permanence : un disque USB branché à demeure ou un NAS accessible en partage réseau sera chiffré avec le reste.
- Aucun test de restauration : on découvre la corruption le jour de la crise.
- Le serveur de sauvegarde dans le domaine, administré avec les mêmes comptes que la production.
- La confusion synchronisation/sauvegarde : OneDrive ou Drive répliquent aussi le chiffrement (les versions antérieures aident, sans garantie contractuelle d’immutabilité).
- Une rétention trop courte, alors que l’attaquant reste parfois des semaines dans le réseau avant d’agir.
- Aucune supervision : des sauvegardes en échec depuis des mois sans que personne ne lise les alertes.
Quelle solution selon la taille de votre entreprise ?
Pour une TPE de 1 à 10 postes sans serveur, une solution de sauvegarde cloud avec immutabilité activée et une copie locale sur disque déconnecté suffit généralement, pour un budget modeste. Une PME de 10 à 50 postes avec un ou plusieurs serveurs combinera un logiciel de sauvegarde professionnel, un NAS local à snapshots verrouillés et un dépôt cloud avec Object Lock en mode compliance. Au-delà de 50 postes ou en présence d’applications critiques, on ajoute la réplication vers un site secondaire, éventuellement des bandes LTO externalisées, et un PRA formalisé avec exercices annuels. Un commerce avec caisse et gestion des stocks a des besoins spécifiques : notre page dédiée à la gestion informatique du commerce de détail détaille ces scénarios.
Tableau comparatif des supports de sauvegarde immuable
| Support | Type d’immutabilité | Air gap | Coût indicatif | Idéal pour |
|---|---|---|---|---|
| Cloud objet + Object Lock (mode compliance) | Logique, verrouillée à l’échéance | Logique (hors site, comptes séparés) | Faible à moyen, à l’usage | TPE et PME, copie externalisée automatisée |
| Bande LTO (WORM ou sortie du lecteur) | Physique | Physique total | Lecteur coûteux, cartouches économiques | Gros volumes, archivage long, PME industrielles |
| Snapshots NAS verrouillés | Logique, sur la baie | Aucun (même matériel) | Inclus dans le NAS récent | Restauration rapide au quotidien, en complément |
| Disque USB déconnecté (rotation) | Aucune (hors ligne seulement) | Physique si débranché | Très faible | TPE, copie d’appoint avec discipline stricte |
Combien ça coûte ? Un exemple chiffré
Prenons une PME de 25 salariés avec 2 To de données utiles. À titre indicatif et selon les offres du marché : un stockage cloud immuable revient à quelques dizaines d’euros par mois pour ce volume ; un NAS à snapshots verrouillés représente un investissement de l’ordre de 1 000 à 2 500 € amorti sur plusieurs années ; la supervision et les tests par un prestataire, quelques centaines d’euros par mois. Soit un budget global souvent inférieur à 3 000 à 5 000 € par an. À comparer au coût d’une attaque réussie : plusieurs semaines d’arrêt, reconstruction du système, perte de clients… L’ANSSI et les assureurs cyber constatent régulièrement que la facture d’un sinistre se chiffre en dizaines, voire centaines de milliers d’euros pour une PME.
Sauvegarde immuable et conformité documentaire
L’immutabilité ne protège pas que contre les pirates : elle répond aussi à des exigences de conservation. Factures électroniques, bulletins de paie, pièces comptables et contrats doivent être conservés plusieurs années dans des conditions garantissant leur intégrité. Un stockage WORM apporte précisément cette garantie de non-altération. Pour organiser ce volet documentaire, une plateforme de GED et archivage sécurisé comme celle de notre partenaire Desks complète utilement la sauvegarde technique : classement, horodatage et piste d’audit des documents. Et pour cadrer les durées légales de conservation de vos pièces, votre cabinet comptable reste l’interlocuteur de référence, sous réserve de la réglementation en vigueur.
Par où commencer : votre feuille de route en 6 étapes
- Inventoriez vos données critiques et classez-les par impact (paie, facturation, dossiers clients, plans, caisse).
- Fixez RPO et RTO avec la direction, application par application.
- Déployez la règle 3-2-1-1-0 en ajoutant au minimum une copie immuable hors site.
- Isolez l’infrastructure de sauvegarde : comptes dédiés, authentification multifacteur, hors domaine.
- Testez une restauration dès la première semaine, puis à intervalle régulier, en consignant les résultats.
- Documentez le PRA et conservez-en une copie hors ligne, accessible même si tout le SI est chiffré.
Ce chantier se mène en quelques semaines dans la plupart des PME, sans interrompre l’activité.
Questions fréquentes
Une sauvegarde immuable peut-elle être supprimée par erreur ?
Non, c’est tout son intérêt. En mode compliance, ni un utilisateur, ni un administrateur, ni le support du fournisseur ne peut supprimer la copie avant la fin de la rétention. Il faut donc choisir cette durée avec soin : trop courte, elle protège mal ; trop longue, elle immobilise du stockage facturé.
Quelle durée de rétention immuable choisir ?
Beaucoup de PME retiennent 14 à 30 jours d’immutabilité glissante, car les attaquants restent souvent plusieurs semaines dans le réseau avant de chiffrer. L’essentiel est de couvrir votre délai probable de détection, en combinant plusieurs points de restauration quotidiens, hebdomadaires et mensuels.
OneDrive ou Google Drive suffisent-ils comme sauvegarde ?
Non. Ce sont des outils de synchronisation : un fichier chiffré localement est répliqué chiffré dans le cloud. Les versions antérieures et corbeilles aident parfois, mais sans engagement d’immutabilité ni de rétention garanti. Une vraie sauvegarde est indépendante, versionnée et verrouillée.
L’immutabilité remplace-t-elle l’antivirus et les mises à jour ?
Non, elle est le dernier rempart, pas le premier. La prévention (mises à jour, EDR, authentification multifacteur, sensibilisation des équipes) réduit la probabilité d’une attaque ; la sauvegarde immuable garantit la capacité de reprise si la prévention échoue. Les deux volets sont indissociables.
À quelle fréquence tester ses restaurations ?
Un test partiel mensuel (quelques fichiers, une base de données) et un exercice complet semestriel constituent un bon rythme pour une PME. Chronométrez chaque exercice et comparez le résultat à votre RTO : c’est la seule mesure objective de votre capacité de reprise.
En résumé
Les ransomwares visent d’abord vos sauvegardes : la seule réponse robuste est une copie que personne ne peut altérer. La sauvegarde immuable, qu’elle repose sur S3 Object Lock, des bandes LTO externalisées ou des snapshots verrouillés, transforme une attaque potentiellement fatale en incident maîtrisable. Appliquez la règle 3-2-1-1-0, isolez votre infrastructure de sauvegarde, fixez RPO et RTO avec la direction et, surtout, testez vos restaurations régulièrement : une sauvegarde jamais restaurée n’est qu’une hypothèse. Pour une PME, l’investissement se compte en milliers d’euros par an, quand un sinistre non couvert peut se compter en centaines de milliers. Le bon moment pour verrouiller vos copies, c’est avant l’attaque.










