La règle 3-2-1 est un classique de la gestion des données : 3 copies, sur 2 supports différents, dont 1 hors site. Elle était suffisante contre les pannes matérielles et les catastrophes physiques. Elle ne l'est plus contre les ransomwares modernes.
Pourquoi les ransomwares ciblent vos sauvegardes
Les groupes criminels qui opèrent des ransomwares sophistiqués ont une stratégie bien rodée : avant de déployer le chiffrement, ils passent des jours ou des semaines à explorer votre réseau. Leur objectif premier est d'identifier et de supprimer ou chiffrer vos sauvegardes.
Voici ce qu'ils font concrètement :
- Identifier les solutions de sauvegarde installées (Veeam, Acronis, Windows Server Backup) et leur console d'administration.
- Voler les crédentiels administrateurs de la solution de sauvegarde.
- Supprimer les snapshots VMware, les points de restauration Windows, les copies cloud synchronisées (OneDrive, Dropbox).
- Attendre 30 à 90 jours pour que les sauvegardes encore accessibles soient elles-mêmes corrompues ou périmées.
La règle 3-2-1-1 : le "1" supplémentaire qui change tout
Le quatrième "1" signifie : 1 copie immuable. Une sauvegarde immuable ne peut pas être modifiée, chiffrée ou supprimée, même par un compte administrateur compromis, pendant une période définie (généralement 30 à 90 jours).
Les technologies qui permettent l'immuabilité :
- Veeam Immutable Backups vers un repository Linux avec le bit immutable activé via le protocole XFS.
- Azure Blob Storage avec Immutable Storage (WORM — Write Once, Read Many) : même un compte de stockage compromis ne peut pas supprimer les données pendant la période de rétention.
- Rubrik / Cohesity : plateformes de protection des données conçues nativement pour la résistance aux ransomwares.
- Bandes magnétiques (tape)** en stockage air-gapped** : physiquement déconnectées du réseau. Réservé aux environnements critiques ou aux exigences réglementaires.
La configuration de sauvegarde que nous recommandons aux PME
- Copie 1 (production) : snapshot quotidien sur le serveur de production (Veeam local) — récupération rapide des fichiers individuels.
- Copie 2 (local immuable) : repository Veeam sur un NAS Linux dédié avec immuabilité 30 jours — isolé du reste du réseau.
- Copie 3 (cloud immuable) : réplication vers Azure Blob Storage WORM dans une région canadienne — séparation physique et géographique.
- Copie 4 (air-gapped) (pour les données les plus critiques) : sauvegarde hebdomadaire sur support amovible conservé hors site.
Le test de restauration : l'étape que tout le monde oublie
Une sauvegarde non testée n'est pas une sauvegarde. Nous recommandons un test de restauration complète trimestriel pour les PME, avec un rapport documenté. Ce test doit inclure la restauration d'un serveur complet, pas seulement de fichiers individuels. La différence entre "les fichiers existent" et "le serveur est opérationnel" peut représenter 24 heures de délai supplémentaire lors d'un incident réel.