Sauvegardes 3-2-1, PRA et PCA : guide pratique pour PME face aux ransomwares
Quand une attaque par ransomware frappe une PME, la qualité des sauvegardes et l'existence d'un plan de reprise d'activité (PRA) font la différence entre une remise en service en quelques jours et un dépôt de bilan. Selon l'ANSSI et le CESIN, près de 40 % des PME victimes d'un ransomware en 2024–2025 n'ont pas pu restaurer leurs données : sauvegardes chiffrées par l'attaquant, supports inaccessibles ou jamais testés. Ce guide explique comment construire une stratégie de sauvegarde réellement résiliente.
La règle 3-2-1, et son évolution moderne 3-2-1-1-0
La règle 3-2-1 est le standard historique : 3 copies de chaque donnée, sur 2 supports différents, dont 1 hors site. Face à la sophistication des ransomwares, elle a évolué vers la règle 3-2-1-1-0 :
- 3 copies des données.
- 2 supports de stockage différents (disque, bande, cloud objet).
- 1 copie hors site géographiquement.
- 1 copie immuable ou hors ligne (air-gap), inaccessible à un attaquant.
- 0 erreur lors du test de restauration.
Sauvegardes immuables : le rempart anti-ransomware
Une sauvegarde immuable ne peut être modifiée ni supprimée pendant une période définie, même par un administrateur. Les principales technologies en 2026 :
- S3 Object Lock en mode « compliance » (AWS S3, Wasabi, OVHcloud, Scaleway).
- Veeam Hardened Repository sur Linux avec immutabilité native.
- Bandes LTO sorties du robot et stockées dans un coffre.
- Sauvegardes air-gap sur un système physiquement déconnecté.
L'objectif : qu'un attaquant ayant compromis l'Active Directory et le serveur de sauvegarde ne puisse pas détruire les copies de secours. C'est aujourd'hui une exigence de fait pour décrocher une cyber-assurance et un point de contrôle majeur de NIS2.
Définir RTO et RPO pour chaque service
Avant de choisir une technologie, il faut définir deux indicateurs métier essentiels :
- RTO (Recovery Time Objective) : durée maximale acceptable d'indisponibilité. Combien de temps mon entreprise peut-elle survivre sans ce service ?
- RPO (Recovery Point Objective) : perte de données maximale acceptable. Combien d'heures de travail puis-je perdre ?
Exemples typiques pour une PME
| Service | RTO cible | RPO cible | Solution adaptée |
|---|---|---|---|
| Messagerie M365 | 4 h | 15 min | Sauvegarde tierce SaaS (AvePoint, Veeam M365) |
| ERP / production | 4 h | 1 h | Réplication + sauvegarde immuable |
| Bureautique / fichiers | 24 h | 4 h | Sauvegarde quotidienne + cloud objet |
| Archives | 72 h | 24 h | Bande LTO ou cloud froid (Glacier, S3 Glacier) |
PRA vs PCA : ne pas confondre
- PCA (Plan de Continuité d'Activité) : maintenir l'activité pendant la crise (locaux de repli, mode dégradé, télétravail forcé, communication client).
- PRA (Plan de Reprise d'Activité) : redémarrer le SI après l'incident (restauration, reconstruction, retour à la normale).
Les deux sont complémentaires et obligatoires au titre de NIS2 (article 21). Pour aller plus loin, consultez notre guide dédié au plan de continuité d'activité.
Méthodologie en 7 étapes pour bâtir son PRA
- Cartographier les processus métier et leurs dépendances IT (BIA — Business Impact Analysis).
- Définir RTO et RPO par service avec les directions métier.
- Choisir l'architecture de sauvegarde et de reprise (sur site, cloud, hybride).
- Documenter les procédures de bascule et de restauration, étape par étape.
- Sécuriser les sauvegardes : immuabilité, chiffrement, comptes dédiés non liés à l'AD.
- Tester au moins une restauration complète par an et un exercice de crise tabletop.
- Améliorer en continu après chaque test, incident ou changement majeur.
Le test de restauration : le seul indicateur qui compte
Une sauvegarde non testée est une sauvegarde présumée perdue. L'ANSSI recommande au minimum un test annuel complet et des tests partiels trimestriels. Lors d'un test, mesurez réellement :
- Le temps total de restauration (RTO réel vs cible).
- L'intégrité des données restaurées (cohérence applicative, pas seulement fichiers).
- La capacité à restaurer sans les comptes admins compromis (scénario ransomware).
- La documentation : un opérateur junior doit pouvoir suivre la procédure.
Coûts indicatifs pour une PME de 100 personnes
- Solution de sauvegarde (Veeam, Nakivo, Acronis) : 4 000 à 10 000 € HT / an.
- Sauvegarde immuable cloud (1 To, S3 Object Lock) : 50 à 200 € HT / mois selon le fournisseur.
- Sauvegarde M365 tierce : 3 à 5 € HT / utilisateur / mois.
- Site de repli froid (cloud) : 500 à 2 000 € HT / mois.
- Élaboration et test du PRA par un expert : 12 000 à 25 000 € HT en année 1.
Conformité NIS2, ISO 27001 et cyber-assurance
- NIS2 (article 21) : exigence explicite de sauvegardes et de plans de continuité testés.
- ISO 27001:2022 : contrôles A.5.29, A.5.30, A.8.13 (continuité, sauvegardes, redondance).
- DORA : tests de résilience opérationnelle pour le secteur financier.
- Cyber-assurance : sauvegardes immuables hors ligne désormais exigées par la majorité des assureurs.
10 bonnes pratiques anti-ransomware pour les sauvegardes
- Comptes de sauvegarde isolés de l'Active Directory de production.
- MFA résistant au phishing sur la console de sauvegarde.
- Au moins une copie immuable ou réellement déconnectée.
- Chiffrement des sauvegardes au repos et en transit.
- Supervision et alerte sur toute suppression ou échec de job.
- Rétention longue (≥ 30 jours) pour détecter les chiffrements lents (slow ransomware).
- Sauvegarde explicite des PRA, des mots de passe et de la documentation.
- Sauvegarde des SaaS critiques (M365, Google Workspace, Salesforce, GitHub).
- Restauration testée hors connexion réseau de production.
- Revue annuelle des accès et des droits sur l'infrastructure de sauvegarde.
Conclusion
Une stratégie de sauvegarde et un PRA solides sont aujourd'hui les derniers remparts face aux ransomwares. Pour une PME, passer de la règle 3-2-1 à 3-2-1-1-0, intégrer l'immuabilité et tester réellement les restaurations représente un investissement modeste au regard des conséquences d'une attaque réussie : coût moyen 270 000 € et 21 jours d'indisponibilité.
Pour aller plus loin, consultez notre guide Ransomware PME : prévention et réaction et notre dossier Cyber-assurance pour PME.
CyberConform conçoit, déploie et teste vos plans de sauvegarde et de reprise d'activité. Contactez-nous pour un audit gratuit de 15 minutes.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit