Sauvegarde des données en entreprise : la règle du 3-2-1

Pourquoi la sauvegarde est votre assurance-vie numérique

Les données sont le patrimoine le plus précieux de votre entreprise. Fichiers clients, comptabilité, contrats, plans, bases de données, e-mails : la perte de ces données peut mettre en péril la survie même de votre activité. Selon les études, 60 % des PME qui subissent une perte de données majeure cessent leur activité dans les 6 mois suivants.

Les causes de perte de données sont multiples et aucune entreprise n'est à l'abri :

• Panne matérielle : un disque dur a une durée de vie moyenne de 3 à 5 ans. Les pannes surviennent souvent sans signe avant-coureur.
• Ransomware et cyberattaques : les rançongiciels chiffrent vos données et vos sauvegardes si elles sont accessibles sur le réseau.
• Erreur humaine : suppression accidentelle, écrasement de fichiers, mauvaise manipulation. C'est la cause n°1 de perte de données.
• Sinistre physique : incendie, dégât des eaux, vol de matériel, catastrophe naturelle.
• Défaillance logicielle : corruption de base de données, bug applicatif, mise à jour qui tourne mal.

La règle du 3-2-1 expliquée

La règle du 3-2-1 est le standard de référence en matière de sauvegarde. Elle est simple à comprendre et redoutablement efficace :

Concrètement, pour une PME, cela peut se traduire par :

1. Copie 1 : les données de production sur votre serveur (les données "vivantes" sur lesquelles vous travaillez au quotidien)
2. Copie 2 : une sauvegarde locale sur un NAS (serveur de stockage réseau) ou un disque externe dans vos locaux
3. Copie 3 : une sauvegarde externalisée dans le cloud ou sur un support stocké dans un lieu différent (datacenter, coffre-fort bancaire, autre site de l'entreprise)

L'idée est qu'un seul événement (incendie, ransomware, vol) ne puisse jamais détruire toutes vos copies simultanément. Si votre serveur et votre NAS sont dans le même local et qu'un incendie se déclare, seule la copie hors site survit. C'est elle qui sauvera votre entreprise.

L'évolution vers le 3-2-1-1-0

Face à la montée des ransomware, la règle a évolué vers le 3-2-1-1-0 :

• 1 copie immuable (air-gapped) : une sauvegarde qui ne peut être ni modifiée ni supprimée, même par un administrateur. Cela empêche un ransomware de chiffrer vos sauvegardes.
• 0 erreur : testez régulièrement vos sauvegardes pour garantir qu'elles sont restaurables. Une sauvegarde non testée n'est pas une sauvegarde.

Les types de sauvegarde

Sauvegarde complète (Full backup)

Copie l'intégralité des données à chaque exécution. C'est la méthode la plus simple et la plus fiable pour la restauration, mais aussi la plus gourmande en espace de stockage et en temps.

Usage recommandé : une fois par semaine (le week-end par exemple).

Sauvegarde incrémentielle

Ne copie que les données modifiées depuis la dernière sauvegarde (complète ou incrémentielle). Très rapide et économe en stockage, mais la restauration nécessite la dernière sauvegarde complète plus toutes les incrémentielles suivantes.

Usage recommandé : quotidiennement, entre les sauvegardes complètes.

Sauvegarde différentielle

Ne copie que les données modifiées depuis la dernière sauvegarde complète. Plus volumineuse que l'incrémentielle au fil des jours, mais la restauration est plus simple : il suffit de la dernière complète plus la dernière différentielle.

Usage recommandé : un compromis entre la complète et l'incrémentielle, adapté aux entreprises ayant un volume modéré de modifications quotidiennes.

Local, cloud ou hybride ?

Sauvegarde locale

Stockée sur site (NAS, serveur de sauvegarde, bandes LTO). La restauration est rapide car les données sont immédiatement accessibles. En revanche, elle est vulnérable aux sinistres physiques et aux ransomware si elle est connectée au réseau.

• Avantages : restauration rapide, pas de dépendance Internet, coût prévisible
• Inconvénients : vulnérable aux sinistres locaux, nécessite maintenance matérielle

Sauvegarde cloud

Stockée dans un datacenter distant, accessible via Internet. Elle offre une protection contre les sinistres locaux et peut être immuable (protection contre les ransomware). La restauration est plus lente, dépendante de votre bande passante Internet.

• Avantages : protection hors site, scalabilité, immuabilité possible, pas de matériel à gérer
• Inconvénients : restauration plus lente, coût récurrent, dépendance Internet

Sauvegarde hybride (recommandée)

Combine le meilleur des deux mondes : une copie locale pour la restauration rapide en cas de problème mineur, et une copie cloud pour la protection contre les sinistres majeurs. C'est l'approche que nous recommandons pour les PME.

RTO et RPO : deux indicateurs essentiels

Pour définir votre stratégie de sauvegarde, vous devez répondre à deux questions fondamentales :

RPO (Recovery Point Objective)

Combien de données pouvez-vous vous permettre de perdre ? Si votre RPO est de 24 heures, vous acceptez de perdre au maximum une journée de travail. Si votre RPO est de 1 heure, vous avez besoin de sauvegardes horaires. Le RPO détermine la fréquence de vos sauvegardes.

RTO (Recovery Time Objective)

Combien de temps pouvez-vous rester sans accès à vos données ? Si votre RTO est de 4 heures, vous devez être capable de restaurer vos systèmes critiques en moins de 4 heures. Le RTO détermine votre infrastructure de sauvegarde et votre plan de reprise.

PRA et PCA : anticiper le pire

PRA (Plan de Reprise d'Activité)

Le PRA est un document qui décrit la procédure complète pour restaurer votre système d'information après un sinistre majeur. Il précise les responsables, les étapes de restauration par ordre de priorité, les contacts d'urgence et les ressources nécessaires. Le PRA est votre "mode d'emploi en cas de catastrophe".

PCA (Plan de Continuité d'Activité)

Le PCA va plus loin que le PRA : il vise à maintenir l'activité pendant le sinistre, sans interruption ou avec un temps d'arrêt minimal. Il implique souvent de la redondance (serveurs en double, basculement automatique) et un site de repli.

Pour une PME, un PRA solide est le minimum indispensable. Le PCA complet est un objectif vers lequel tendre progressivement, en fonction de la criticité de votre activité et de votre budget.

Tester vos sauvegardes : l'étape que tout le monde oublie

C'est le point le plus critique et le plus négligé. Une sauvegarde qui n'a jamais été testée ne vaut rien. Trop d'entreprises découvrent le jour du sinistre que leurs sauvegardes sont corrompues, incomplètes ou impossibles à restaurer.

Voici un plan de tests recommandé :

• Chaque semaine : vérifiez les rapports de sauvegarde (succès, alertes, erreurs)
• Chaque mois : restaurez un échantillon de fichiers pour vérifier leur intégrité
• Chaque trimestre : effectuez une restauration complète d'un serveur ou d'une application sur un environnement de test
• Chaque année : simulez un sinistre complet et déroulez votre PRA de bout en bout

Documentez chaque test : date, périmètre testé, durée de restauration mesurée, problèmes rencontrés et actions correctives. Cette documentation est également précieuse pour la conformité RGPD et les audits de cybersécurité.

Estimation des coûts pour une PME

Le coût d'une stratégie de sauvegarde 3-2-1 pour une PME de 20 à 50 postes :

• NAS local (Synology, QNAP) : 1 000 à 3 000 euros (investissement initial, disques inclus)
• Sauvegarde cloud : 50 à 300 euros/mois selon le volume de données
• Logiciel de sauvegarde : 100 à 500 euros/mois (Veeam, Acronis, Datto)
• Mise en place et configuration : 1 000 à 3 000 euros (prestation unique)

Rapporté au coût d'une perte de données (en moyenne 150 000 euros pour une PME selon IBM), l'investissement dans une sauvegarde robuste est dérisoire. C'est littéralement l'assurance la moins chère et la plus rentable de votre entreprise.