Retour aux actualitésSauvegardes & PRA

    Sauvegardes 3-2-1, PRA et PCA : guide pratique pour PME face aux ransomwares

    16 min de lecture

    Quand une attaque par ransomware frappe une PME, la qualité des sauvegardes et l'existence d'un plan de reprise d'activité (PRA) font la différence entre une remise en service en quelques jours et un dépôt de bilan. Selon l'ANSSI et le CESIN, près de 40 % des PME victimes d'un ransomware en 2024–2025 n'ont pas pu restaurer leurs données : sauvegardes chiffrées par l'attaquant, supports inaccessibles ou jamais testés. Ce guide explique comment construire une stratégie de sauvegarde réellement résiliente.

    La règle 3-2-1, et son évolution moderne 3-2-1-1-0

    La règle 3-2-1 est le standard historique : 3 copies de chaque donnée, sur 2 supports différents, dont 1 hors site. Face à la sophistication des ransomwares, elle a évolué vers la règle 3-2-1-1-0 :

    • 3 copies des données.
    • 2 supports de stockage différents (disque, bande, cloud objet).
    • 1 copie hors site géographiquement.
    • 1 copie immuable ou hors ligne (air-gap), inaccessible à un attaquant.
    • 0 erreur lors du test de restauration.

    Sauvegardes immuables : le rempart anti-ransomware

    Une sauvegarde immuable ne peut être modifiée ni supprimée pendant une période définie, même par un administrateur. Les principales technologies en 2026 :

    • S3 Object Lock en mode « compliance » (AWS S3, Wasabi, OVHcloud, Scaleway).
    • Veeam Hardened Repository sur Linux avec immutabilité native.
    • Bandes LTO sorties du robot et stockées dans un coffre.
    • Sauvegardes air-gap sur un système physiquement déconnecté.

    L'objectif : qu'un attaquant ayant compromis l'Active Directory et le serveur de sauvegarde ne puisse pas détruire les copies de secours. C'est aujourd'hui une exigence de fait pour décrocher une cyber-assurance et un point de contrôle majeur de NIS2.

    Définir RTO et RPO pour chaque service

    Avant de choisir une technologie, il faut définir deux indicateurs métier essentiels :

    • RTO (Recovery Time Objective) : durée maximale acceptable d'indisponibilité. Combien de temps mon entreprise peut-elle survivre sans ce service ?
    • RPO (Recovery Point Objective) : perte de données maximale acceptable. Combien d'heures de travail puis-je perdre ?

    Exemples typiques pour une PME

    ServiceRTO cibleRPO cibleSolution adaptée
    Messagerie M3654 h15 minSauvegarde tierce SaaS (AvePoint, Veeam M365)
    ERP / production4 h1 hRéplication + sauvegarde immuable
    Bureautique / fichiers24 h4 hSauvegarde quotidienne + cloud objet
    Archives72 h24 hBande LTO ou cloud froid (Glacier, S3 Glacier)

    PRA vs PCA : ne pas confondre

    • PCA (Plan de Continuité d'Activité) : maintenir l'activité pendant la crise (locaux de repli, mode dégradé, télétravail forcé, communication client).
    • PRA (Plan de Reprise d'Activité) : redémarrer le SI après l'incident (restauration, reconstruction, retour à la normale).

    Les deux sont complémentaires et obligatoires au titre de NIS2 (article 21). Pour aller plus loin, consultez notre guide dédié au plan de continuité d'activité.

    Méthodologie en 7 étapes pour bâtir son PRA

    1. Cartographier les processus métier et leurs dépendances IT (BIA — Business Impact Analysis).
    2. Définir RTO et RPO par service avec les directions métier.
    3. Choisir l'architecture de sauvegarde et de reprise (sur site, cloud, hybride).
    4. Documenter les procédures de bascule et de restauration, étape par étape.
    5. Sécuriser les sauvegardes : immuabilité, chiffrement, comptes dédiés non liés à l'AD.
    6. Tester au moins une restauration complète par an et un exercice de crise tabletop.
    7. Améliorer en continu après chaque test, incident ou changement majeur.

    Le test de restauration : le seul indicateur qui compte

    Une sauvegarde non testée est une sauvegarde présumée perdue. L'ANSSI recommande au minimum un test annuel complet et des tests partiels trimestriels. Lors d'un test, mesurez réellement :

    • Le temps total de restauration (RTO réel vs cible).
    • L'intégrité des données restaurées (cohérence applicative, pas seulement fichiers).
    • La capacité à restaurer sans les comptes admins compromis (scénario ransomware).
    • La documentation : un opérateur junior doit pouvoir suivre la procédure.

    Coûts indicatifs pour une PME de 100 personnes

    • Solution de sauvegarde (Veeam, Nakivo, Acronis) : 4 000 à 10 000 € HT / an.
    • Sauvegarde immuable cloud (1 To, S3 Object Lock) : 50 à 200 € HT / mois selon le fournisseur.
    • Sauvegarde M365 tierce : 3 à 5 € HT / utilisateur / mois.
    • Site de repli froid (cloud) : 500 à 2 000 € HT / mois.
    • Élaboration et test du PRA par un expert : 12 000 à 25 000 € HT en année 1.

    Conformité NIS2, ISO 27001 et cyber-assurance

    • NIS2 (article 21) : exigence explicite de sauvegardes et de plans de continuité testés.
    • ISO 27001:2022 : contrôles A.5.29, A.5.30, A.8.13 (continuité, sauvegardes, redondance).
    • DORA : tests de résilience opérationnelle pour le secteur financier.
    • Cyber-assurance : sauvegardes immuables hors ligne désormais exigées par la majorité des assureurs.

    10 bonnes pratiques anti-ransomware pour les sauvegardes

    • Comptes de sauvegarde isolés de l'Active Directory de production.
    • MFA résistant au phishing sur la console de sauvegarde.
    • Au moins une copie immuable ou réellement déconnectée.
    • Chiffrement des sauvegardes au repos et en transit.
    • Supervision et alerte sur toute suppression ou échec de job.
    • Rétention longue (≥ 30 jours) pour détecter les chiffrements lents (slow ransomware).
    • Sauvegarde explicite des PRA, des mots de passe et de la documentation.
    • Sauvegarde des SaaS critiques (M365, Google Workspace, Salesforce, GitHub).
    • Restauration testée hors connexion réseau de production.
    • Revue annuelle des accès et des droits sur l'infrastructure de sauvegarde.

    Conclusion

    Une stratégie de sauvegarde et un PRA solides sont aujourd'hui les derniers remparts face aux ransomwares. Pour une PME, passer de la règle 3-2-1 à 3-2-1-1-0, intégrer l'immuabilité et tester réellement les restaurations représente un investissement modeste au regard des conséquences d'une attaque réussie : coût moyen 270 000 € et 21 jours d'indisponibilité.

    Pour aller plus loin, consultez notre guide Ransomware PME : prévention et réaction et notre dossier Cyber-assurance pour PME.

    CyberConform conçoit, déploie et teste vos plans de sauvegarde et de reprise d'activité. Contactez-nous pour un audit gratuit de 15 minutes.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit