Audit des sauvegardes en entreprise : méthode et tests 2026
En 2025, 60 % des entreprises victimes d'un ransomware qui avaient des sauvegardes ont quand même subi des pertes de données significatives. La raison : les sauvegardes n'avaient jamais été réellement testées. Auditer ses sauvegardes n'est pas optionnel — c'est une obligation réglementaire (RGPD article 32, NIS2 article 21) et la seule façon de savoir si votre plan de reprise fonctionnera vraiment le jour J.
Les erreurs de sauvegarde les plus fréquentes en PME
Sauvegardes non testées
La sauvegarde tourne, mais personne n'a vérifié depuis des mois (ou jamais) qu'elle se restaure correctement. C'est la première cause de perte de données.
Sauvegardes sur le même réseau
Les sauvegardes stockées sur un partage réseau accessible depuis le serveur principal sont chiffrées par le ransomware au même titre que les données originales.
Pas de sauvegarde hors site
Une seule copie locale ne protège pas contre les sinistres physiques (incendie, dégât des eaux, vol). La règle 3-2-1 exige une copie hors site.
RPO trop long
Des sauvegardes quotidiennes sur des données qui changent à chaque heure signifient potentiellement 23h de perte de données en cas d'incident.
Sauvegardes partielles
Seules certaines données critiques sont sauvegardées, mais les bases de données, les boîtes mail ou les configurations système sont oubliées.
Chiffrement absent ou non documenté
Les sauvegardes hors site non chiffrées exposent vos données en cas de vol du support ou de brèche chez l'hébergeur de backup.
La méthode d'audit des sauvegardes en 5 étapes
Inventaire des données et des sauvegardes
Listez toutes les données critiques de l'entreprise : bases de données métier (ERP, CRM), fichiers partagés, serveurs de messagerie, configuration réseau, données M365/Google Workspace. Pour chaque source de données, vérifiez si elle est sauvegardée, à quelle fréquence, où et par qui.
Vérification de la stratégie 3-2-1 (ou 3-2-1-1-0)
La règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site. La règle évoluée 3-2-1-1-0 ajoute : 1 copie immuable (non modifiable) et 0 erreur vérifiée lors des tests de restauration. Vérifiez que votre architecture de sauvegarde respecte a minima 3-2-1.
Tests de restauration (le point le plus critique)
Testez la restauration complète d'au moins une sauvegarde de chaque système critique. Mesurez le temps réel de restauration et comparez au RTO cible. Vérifiez l'intégrité des données restaurées (la sauvegarde était-elle corrompue ?). Testez sur un environnement isolé pour ne pas affecter la production.
Vérification de l'immuabilité et de la protection ransomware
Les sauvegardes doivent être protégées contre le chiffrement par un ransomware. Vérifiez : isolation réseau des sauvegardes (aucun accès direct depuis les serveurs principaux), immutabilité (Object Lock S3, WORM tapes), accès en écriture restreint (seul l'agent de sauvegarde peut écrire, aucun accès RDP/SSH au serveur de backup depuis le réseau principal).
Vérification du chiffrement et de la documentation
Vérifiez que toutes les sauvegardes hors site sont chiffrées (AES-256 minimum) et que les clés de chiffrement sont documentées et stockées séparément des sauvegardes. Vérifiez l'existence d'une procédure de restauration documentée, testée et accessible même si les systèmes principaux sont hors ligne.
RTO et RPO : définir et mesurer vos objectifs
RPO (Recovery Point Objective)
Perte de données maximale acceptable : jusqu'à combien d'heures (ou minutes) de données peut-on perdre sans que ce soit catastrophique pour l'entreprise ?
RTO (Recovery Time Objective)
Durée maximale d'interruption acceptable : combien de temps peut-on tolérer que le système soit indisponible avant que l'impact soit critique ?
L'audit des sauvegardes consiste à mesurer le RTO réel (temps de restauration effectif mesuré lors des tests) et à le comparer au RTO cible. Si votre RTO cible est de 4h mais que la restauration complète prend 18h en réalité, vous avez un écart critique à corriger avant le prochain incident.
Obligations réglementaires sur les sauvegardes
RGPD (article 32)
Impose la mise en place de moyens pour 'rétablir la disponibilité des données personnelles et l'accès à celles-ci dans des délais appropriés' en cas d'incident. L'absence de sauvegarde fonctionnelle sur des données personnelles constitue une violation de l'article 32.
NIS2 (article 21)
Impose des plans de continuité d'activité incluant la gestion des sauvegardes, la reprise après sinistre et la gestion des crises. Pour les entités essentielles, les sauvegardes font partie des éléments contrôlés lors des audits réglementaires ANSSI.
DORA (secteur financier)
Impose des tests réguliers de restauration des sauvegardes avec mesure effective des RTO/RPO. Les plans de continuité doivent être testés annuellement et les résultats documentés.
Checklist de l'audit des sauvegardes
Auditez vos sauvegardes avant qu'il soit trop tard
Nos auditeurs évaluent la qualité de vos sauvegardes et réalisent des tests de restauration réels : inventaire, vérification de la stratégie 3-2-1, tests de restauration chronométrés, rapport avec plan de remédiation. À partir de 1 200 € HT.
Demander un audit des sauvegardes