Sauvegarde 3‑2‑1‑1‑0 : la nouvelle règle face aux ransomwares

Introduction

La règle de sauvegarde 3‑2‑1 est devenue un mantra dans le monde de l’IT. Pendant plus de vingt ans, elle a guidé les entreprises dans la protection de leurs données : garder au moins trois copies, sur deux supports différents, dont une hors site. Cette approche répondait aux risques matériels (panne de disque, incendie, vol) qui étaient les causes principales de perte de données. Mais le paysage des menaces a profondément changé. En 2026, le ransomware est la première cause d’incident majeur : les attaquants chiffrent la production et les sauvegardes connectées pour maximiser l’effet de levier. Face à cette menace, la règle 3‑2‑1 s’est enrichie pour devenir 3‑2‑1‑1‑0. Deux garde‑fous supplémentaires apparaissent : l’immutabilité et la garantie de restauration. Ce guide explique la logique de cette évolution et propose une mise en œuvre adaptée aux PME et aux ETI.

3‑2‑1 : rappel d’une règle toujours valable, mais insuffisante

Les trois chiffres clés de la règle historique sont toujours pertinents :

• **3 copies** : la production et au moins deux sauvegardes. Les copies doivent être indépendantes pour éviter qu’un incident ne les touche simultanément.

• **2 supports différents** : par exemple disque interne et stockage objet, ou disque et bande. Diversifier les technologies limite l’impact d’une défaillance matérielle ou d’une vulnérabilité logicielle spécifique.

• **1 copie hors site** : si un sinistre (incendie, inondation, vol) détruit votre site principal, une sauvegarde éloignée vous permet de redémarrer. Cette copie peut être dans un autre bâtiment, un datacenter distant ou un cloud public.

Cette règle reste la base de toute stratégie de sauvegarde. Mais elle ne prévoit pas l’attaque ciblée qui s’introduit dans le réseau, chiffrent les données de production **et** les sauvegardes connectées avant de réclamer une rançon. Or c’est exactement ce que font les rançongiciels modernes : ils exploitent les droits d’administration pour supprimer ou corrompre les copies.

L’extension 3‑2‑1‑1‑0 : immutabilité et test

Pour contrer ces attaques, deux principes s’ajoutent :

• **+1 copie immuable ou hors ligne** : cette copie ne peut pas être modifiée ni supprimée pendant une durée définie, même par un compte administrateur compromis. Elle peut être réalisée via un Object Lock sur du stockage S3, des snapshots ZFS verrouillés (Read‑Only) ou un support hors ligne comme la bande. L’immutabilité garantit que les rançongiciels ne pourront pas chiffrer ou effacer vos sauvegardes.

• **+0 erreur de restauration** : votre stratégie de sauvegarde n’a de valeur que si vous pouvez restaurer. Le « zéro » signifie que vous testez régulièrement la restauration et que vous documentez les résultats. Sans ces tests, vous ne savez pas si vos sauvegardes sont exploitables.

Ainsi, la règle 3‑2‑1‑1‑0 combine la diversité et la redondance à la résistance active contre les attaques et à la vérification proactive.

Comment rendre une sauvegarde immuable en pratique

Il existe plusieurs approches pour mettre en place l’immutabilité :

Object Lock S3

Le stockage objet (Amazon S3, Wasabi, MinIO, Ceph) propose un mode Object Lock qui empêche la suppression ou la modification des objets pendant une durée de rétention définie. Vous écrivez vos sauvegardes avec un drapeau « WORM » (Write Once Read Many) ; même un compte disposant de droits « root » ne peut pas supprimer ou modifier les données avant l’expiration de la période. Cette approche est compatible avec de nombreux logiciels de sauvegarde (Veeam, NAKIVO, Proxmox Backup Server) et s’implémente aussi en interne avec MinIO ou Ceph.

Snapshots ZFS verrouillés

ZFS offre la possibilité de créer des snapshots « readonly ». Une fois créés, ces points de sauvegarde ne peuvent pas être modifiés ni détruits sans une opération explicite de déverrouillage. Couplés à la réplication sur un autre serveur, ils constituent une solution d’immutabilité locale simple et efficace. Cette méthode convient bien aux environnements sur site qui souhaitent garder la maîtrise du stockage.

Bande hors site

La bande magnétique, un temps délaissée, revient en force. Une bande déconnectée physiquement du réseau est par définition immuable : aucune attaque à distance ne peut la chiffrer. Les lecteurs et médiathèques modernes (LTO-8, LTO-9) offrent des performances suffisantes pour les sauvegardes hebdomadaires ou mensuelles et un coût au téraoctet très compétitif. La bande doit être stockée dans un lieu sécurisé et la procédure de restauration doit être maîtrisée.

Quelle que soit l’option choisie, l’immutabilité doit être activée sur **au moins une** des copies de vos sauvegardes. Ne vous contentez pas d’un stockage en écriture classique : un administrateur compromis pourrait supprimer l’historique en quelques minutes.

Tester la restauration : indispensable pour atteindre le « 0 »

Une grande partie des entreprises qui pensent être protégées n’ont jamais testé la restauration de leurs sauvegardes. Résultat : au moment critique, on se rend compte que les sauvegardes sont corrompues, que les scripts de restauration ne fonctionnent plus ou que les dépendances n’ont pas été documentées. Tester la restauration n’est pas une formalité : c’est une simulation de reprise qui doit être planifiée et mesurée.

Un cycle de test comprend :

1. **Choisir une VM ou un service représentatif** (une base de données, une application métier).

2. **Restaurer cette sauvegarde dans un environnement isolé** pour ne pas perturber la production.

3. **Vérifier l’intégrité** : démarrage de la machine, cohérence de la base, fonctionnement de l’application, vérification des journaux.

4. **Mesurer le temps** entre le déclenchement de la restauration et le retour en service complet.

5. **Documenter** chaque étape et ses résultats.

Ces tests doivent être réalisés au moins une fois par trimestre pour les environnements critiques. La documentation sert de preuve lors des audits (NIS2, ISO 27001) et de référentiel lors d’une crise. Le but n’est pas d’obtenir zéro erreur dès la première fois, mais de détecter les failles et de les corriger avant qu’elles ne se retournent contre vous.

Les pièges à éviter

Certaines pratiques répandues compromettent la stratégie 3‑2‑1‑1‑0 :

• **Sauvegardes accessibles via SMB/NFS depuis la production.** Si l’attaquant chiffre la production, il chiffre aussi la sauvegarde. Utilisez des protocoles de sauvegarde dédiés (Veeam, PBS) ou isolez le réseau.

• **Rétention insuffisante.** Garder sept jours de sauvegarde ne suffit pas si le malware s’installe pendant trente jours avant de se déclencher. Prévoyez des rétentions quotidiennes, hebdomadaires et mensuelles.

• **Compte administrateur unique pour la sauvegarde.** Un compte compromis peut supprimer toutes les copies. Séparez les rôles et imposez la MFA.

• **Immobiliser uniquement la cible de sauvegarde.** Si le compte de restauration est compromis, vous ne pourrez pas accéder à vos copies immuables. Sécurisez la chaîne de bout en bout.

• 
  

Mettre en œuvre 3‑2‑1‑1‑0 : étapes concrètes

Pour passer d’une stratégie classique à l’approche 3‑2‑1‑1‑0, suivez ces étapes :

1. **Cartographiez vos sauvegardes actuelles** : outils, cibles, rétentions, accès. Identifiez les faiblesses (accès SMB, absence de rétention longue).

2. **Choisissez une technologie d’immutabilité** adaptée à votre contexte : Object Lock S3, snapshots ZFS, bande. Activez‑la et documentez la durée de rétention.

3. **Mettez en place un réseau de sauvegarde isolé** ou un mode de transfert agent vers cible qui ne s’appuie pas sur des partages réseau ouverts.

4. **Définissez un calendrier de tests de restauration**. Commencez par un test simple chaque trimestre puis élargissez.

5. **Adaptez vos procédures et formez les équipes**. Le succès d’une stratégie de sauvegarde repose autant sur la technologie que sur les personnes.

Chez SPM Digital, nous accompagnons la mise en œuvre de la règle 3‑2‑1‑1‑0 avec des solutions adaptées à la taille de votre entreprise, comme Proxmox Backup Server, Veeam, ARX One ou Beemo. Chaque environnement est unique : il est important d’adapter la stratégie à vos contraintes budgétaires, réglementaires et opérationnelles.

Conclusion

En 2026, la question n’est plus de savoir **si** vous serez ciblé, mais **quand**. Les ransomware ciblent tous les secteurs et adaptent leurs techniques pour contourner les protections classiques. La règle 3‑2‑1‑1‑0 offre un cadre simple et robuste pour structurer votre stratégie de sauvegarde : diversité des copies, supports multiples, séparation géographique, immutabilité et tests réguliers. En appliquant cette méthode et en évitant les pièges fréquents, vous réduirez drastiquement le risque d’être à genoux après un incident.

SPM Digital est à vos côtés pour auditer votre stratégie existante, mettre en place les outils adaptés et former vos équipes. Un plan de sauvegarde bien conçu est une assurance vie pour votre entreprise : investissez avant qu’il ne soit trop tard.