La règle 3-2-1 pour les sauvegardes : comment la mettre en place concrètement en PME

Tout le monde parle des sauvegardes, presque personne ne les teste. Voici comment appliquer la règle 3-2-1 sans en faire un projet IT — avec une vérification que vous pouvez faire dès aujourd'hui.

Quand nous arrivons chez un nouveau client et que nous demandons « où en êtes-vous avec vos sauvegardes ? », nous obtenons généralement l'une de ces trois réponses : « c'est notre prestataire qui s'en occupe », « c'est dans le cloud, donc c'est géré » ou un silence gêné. Aucune de ces trois réponses n'est une stratégie de sauvegarde.

La règle 3-2-1 existe depuis des décennies et elle fonctionne toujours aussi bien. Elle est suffisamment simple pour s'expliquer en cinq minutes et suffisamment concrète pour être mise en place dès demain. Dans cet article, nous vous expliquons ce qu'elle signifie, comment l'appliquer sans service IT dédié, et quelle étape presque tout le monde oublie.

Que dit la règle 3-2-1 ?

Trois chiffres, trois principes :

• 3 copies de vos données importantes. L'original compte, donc cela représente l'original plus deux sauvegardes.
• 2 supports ou types de stockage différents. Tout ne doit pas se trouver sur le même disque ou chez le même prestataire.
• 1 copie hors site. Physiquement ou logiquement dans un endroit différent de l'original.

L'idée sous-jacente : une panne, une erreur ou une attaque ciblée ne doit jamais toucher toutes les copies en même temps. Incendie dans le bureau ? La copie hors site vous sauve. Ransomware sur le serveur de fichiers ? Le second support vous sauve. Un prestataire qui fait faillite ? Votre deuxième copie ailleurs vous sauve.

Et « c'est dans le cloud, non ? »

M365, Google Workspace et la plupart des logiciels de comptabilité affichent une excellente disponibilité. Mais la disponibilité n'est pas une sauvegarde. Si un collaborateur vide accidentellement une bibliothèque SharePoint, si un ransomware chiffre des fichiers via un dossier partagé, ou si un compte est piraté et que des dossiers de messagerie sont supprimés — ces dégâts se synchronisent allègrement vers « le cloud ».

Microsoft indique lui-même dans ses conditions de service que les clients sont responsables de leurs propres données. La corbeille et l'historique des versions sont utiles, mais ne remplacent pas une vraie sauvegarde avec une rétention de plusieurs semaines ou mois.

La règle 3-2-1 en pratique : quatre scénarios

1. M365 ou Google Workspace

L'original se trouve dans le cloud. Pour vos deuxième et troisième copies, optez pour un service de sauvegarde spécialisé (pensez à des solutions comme Afi, Synology Active Backup, Veeam ou Keepit). Celui-ci récupère quotidiennement vos e-mails, OneDrive, SharePoint et Teams et les conserve sur sa propre infrastructure — ce qui constitue à la fois votre second support et votre copie hors site.

2. Comptabilité

La plupart des logiciels de comptabilité proposent une fonction d'export. Planifiez un export mensuel de votre comptabilité (XML ou fichier d'audit) vers un emplacement séparé. En cas de doute : demandez à votre expert-comptable d'en conserver une copie dans ses propres archives. Deux avantages en un seul geste.

3. Votre site web

C'est là que nous observons le plus souvent des problèmes. L'hébergeur propose « des sauvegardes », mais elles sont stockées sur le même serveur, conservées 14 jours seulement, ou ne peuvent être restaurées que par l'hébergeur lui-même et contre facturation. Assurez-vous de disposer, en plus des sauvegardes de l'hébergeur, de votre propre copie — par exemple via un plugin qui écrit chaque semaine vers un stockage externe (S3, Backblaze, un NAS personnel).

4. Fichiers locaux et NAS

Si vous avez encore des fichiers stockés localement ou sur un NAS : prévoyez une copie vers le cloud (hors site) et éventuellement un second disque externe que vous débranchez le soir. Un disque toujours connecté n'est pas une sauvegarde — il sera chiffré en même temps que le reste en cas de ransomware.

L'étape que tout le monde oublie : le test de restauration

Une sauvegarde qui n'a jamais été restaurée n'est qu'une hypothèse. Nous avons vu un client effectuer fidèlement des sauvegardes d'une base de données pendant trois ans, alors que le script d'export ignorait la table contenant les données clients. Pendant trois ans. C'est seulement au moment où ils ont vraiment dû restaurer qu'ils s'en sont rendu compte.

Planifiez au moins une fois par trimestre un mini-test de restauration :

• Restaurez un fichier depuis votre sauvegarde M365. Ça fonctionne ? Le contenu est correct ?
• Déployez votre sauvegarde de site web sur un environnement de staging. Le site se charge-t-il ?
• Ouvrez votre dernier export comptable. Tout y est-il ?

Notez le résultat. Date, qui l'a fait, si ça a fonctionné. Deux pages par an suffisent pour prouver, lors d'un audit ou d'un incident, que vous effectuez bien des vérifications.

Que documenter ?

Pour chaque système de votre PME, vous devez savoir :

1. Quoi est sauvegardé (quels dossiers, quelles boîtes aux lettres, quelles bases de données) ?
2. À quelle fréquence (quotidiennement, hebdomadairement) ?
3. Combien de temps est-ce conservé (rétention) ?
4. Où se trouve la sauvegarde (prestataire, localisation) ?
5. Qui peut effectuer la restauration et comment ?
6. Quand a-t-elle été testée pour la dernière fois ?

Un simple tableau dans un document partagé suffit. Ce qui importe davantage que la forme, c'est que ce document existe et qu'une personne en soit responsable.

Commencez petit, commencez aujourd'hui

Vous n'avez pas besoin de tout mettre en place en même temps. Commencez par les deux systèmes dont votre entreprise dépend le plus — souvent votre messagerie et votre site web. Développez ensuite progressivement. Un 3-2-1 partiel sur vos systèmes essentiels vaut infiniment mieux qu'un plan parfait qui reste dans un tiroir.

Vous souhaitez de l'aide pour mettre en place ou tester vos sauvegardes de site web ? Découvrez notre service sauvegarde et restauration de site web, ou laissez-nous réaliser un audit général de sécurité de votre site. Vous préférez d'abord vérifier si votre site répond encore correctement ? Faites notre test de vitesse — un site lent que vous ne pouvez pas restaurer, c'est doublement problématique.