Retour aux actualités
    Guide

    Sauvegarde immuable et règle 3-2-1-1-0

    Sauvegarde immuable contre le ransomware

    93 % des attaques ransomware ciblent en priorité les sauvegardes (rapport Veeam Ransomware Trends 2024). Sans sauvegardes saines, hors-ligne et testées, payer la rançon devient la seule option — et même là, 30 % des entreprises ne récupèrent pas leurs données. La sauvegarde immuable est aujourd'hui la dernière ligne de défense. Ce guide vous explique la règle 3-2-1-1-0, les technologies (WORM, S3 Object Lock, air gap), les coûts et la méthode de test.

    La règle 3-2-1-1-0 expliquée

    Évolution moderne de la règle 3-2-1, recommandée par l'ANSSI et le NIST :

    3

    copies des données

    Le primaire + 2 sauvegardes distinctes.

    2

    supports différents

    Ex. disque + bande, ou disque + objet cloud — pour éliminer les risques liés à une seule technologie.

    1

    copie hors site

    Site distant, cloud, datacenter de secours — pour résister à un incendie ou à un sinistre local.

    1

    copie hors ligne ou immuable

    Bande détachée, S3 Object Lock, Azure Immutable Blob, dépôt WORM — invulnérable au ransomware qui prend le contrôle de votre AD.

    0

    erreur après vérification

    Tests de restauration réguliers avec vérification d'intégrité (hash, checksum, restauration complète).

    Qu'est-ce qu'une sauvegarde « immuable » ?

    Une sauvegarde immuable est impossible à modifier, chiffrer ou supprimer pendant une période définie (rétention), même avec un compte administrateur compromis. Techniques disponibles :

    Amazon S3 Object Lock (Governance / Compliance)

    Verrou WORM natif AWS. Mode Compliance : irréversible même pour le root account.

    Azure Immutable Blob Storage

    Politique time-based ou legal hold sur container ou version.

    Veeam Hardened Repository (Linux + immutability flag)

    Linux XFS avec attribut chattr +i, accès SSH désactivé après bootstrap.

    Bande LTO + air gap physique

    Cassette retirée et stockée dans un coffre — invulnérable à toute attaque réseau.

    Stockage WORM dédié (Dell PowerProtect, NetApp SnapLock)

    Appliance avec rétention compliance certifiée SEC 17a-4.

    Cloud backup avec PIN/MFA delete

    Wasabi, Backblaze B2, OVHcloud Cold Archive avec suppression protégée.

    RTO, RPO et stratégie de rétention

    Tier de donnéesRPO cibleRTO cibleRétention immuable
    Critique (ERP, AD, prod)≤ 1 h≤ 4 h30 j + archive 1 an
    Important (fichiers métier)≤ 4 h≤ 24 h30 j + 6 mois
    Standard (bureautique)24 h72 h14 j + 3 mois
    Légal / archivageN/A7 j5 à 10 ans (compliance)

    RPO = perte de données acceptable. RTO = temps de redémarrage acceptable.

    10 bonnes pratiques essentielles

    Isoler la console de sauvegarde de l'AD de production (compte local dédié, MFA hardware)
    Activer l'immuabilité par défaut sur tous les jobs critiques
    Chiffrer les sauvegardes à la source (AES-256) avec gestion KMS séparée
    Tester une restauration complète tous les trimestres (pas juste un fichier)
    Documenter les procédures de restauration (runbook accessible offline)
    Mettre les sauvegardes hors du domaine Windows (Linux hardened repo)
    Surveiller les jobs : alerte en cas d'échec, de suppression ou de baisse de volume
    Limiter l'accès à la console (RBAC, just-in-time, journalisation)
    Vérifier l'intégrité régulièrement (Veeam SureBackup, hash, scan AV)
    Inclure SaaS critiques : Microsoft 365, Google Workspace, Salesforce (la responsabilité reste à vous)

    Les 6 pièges qui ruinent une stratégie de sauvegarde

    Console de backup intégrée à l'AD : le ransomware compromet d'abord l'AD puis supprime les sauvegardes
    Aucune copie immuable ou hors ligne : le snapshot NAS ne protège pas si l'attaquant a les credentials NAS
    Jamais testé : 1 sauvegarde sur 3 échoue lors de la première vraie restauration
    Oublier les SaaS : Microsoft ne sauvegarde pas vos données M365 au-delà de 30 jours
    Rétention trop courte : un attaquant reste 6 mois en moyenne avant déclenchement
    Clés de chiffrement stockées avec les sauvegardes (= pas de chiffrement utile)

    Évaluez votre résilience face au ransomware

    15 minutes pour challenger votre stratégie de sauvegarde, vérifier l'immuabilité et identifier les axes de renforcement. Sans engagement.

    Réserver mon audit gratuit

    Articles liés

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.