5. juin 2026 | Imprimer l'article | |

Sauvegarde contre les ransomwares : 3-2-1-1-0 au lieu de 3-2-1

8 min. de lecture

De nombreuses stratégies de sauvegarde sont conçues contre la défaillance d’un disque dur, non contre un attaquant actif. Les ransomwares modernes ciblent d’abord la sauvegarde, la suppriment ou la chiffrent, privant ainsi la victime de son principal levier contre l’extorsion. Une sauvegarde qui tient en cas de crise ne suit donc pas seulement l’ancienne règle des trois copies, mais une variante plus stricte. Ce qui compte, c’est le test de restauration réussi, non la documentation dans le concept.

Les points clés en bref

  • Les ransomwares ciblent la sauvegarde. Selon Sophos, les auteurs tentent dans 94 % des cas de compromettre les sauvegardes. Qui ne protège sa sauvegarde que contre les défaillances matérielles planifie à côté du modèle d’attaque réel.
  • La règle 3-2-1-1-0 comble la lacune de l’ancienne règle. Une copie immuable et une copie conservée hors ligne rendent la sauvegarde inaccessible à l’attaquant. Le zéro représente zéro erreur lors du test de restauration.
  • Sans test de restauration, la preuve est absente. Une sauvegarde qui n’a jamais été rejouée n’est pas un chemin de récupération fiable. Seul un test de restauration régulier démontre que les données, les droits et les dépendances fonctionneront en cas de crise.

Associé :L’appareil Edge comme point d’entrée des ransomwares  /  NIS2 est en phase d’exécution

Qu’est-ce que la règle 3-2-1-1-0 ? Cette stratégie de sauvegarde étendue suit un schéma précis. Trois copies des données sont stockées sur deux supports différents, dont l’une à un emplacement distant. S’y ajoutent une copie immuable ou conservée hors ligne, ainsi que l’exigence que la restauration soit testée avec zéro erreur. Elle renforce la règle classique 3-2-1 contre les ransomwares.

Pourquoi les ransomwares ciblent d’abord les sauvegardes

Une attaque par ransomware bien préparée ne chiffre pas immédiatement. Elle se déplace d’abord dans le réseau, recherche les systèmes de sauvegarde et les désactive avant de toucher aux données de production. La raison est simple : une victime disposant d’une sauvegarde intacte peut restaurer ses données. Sans sauvegarde fiable, il ne reste que le paiement, la reconstruction ou la perte de données. La sauvegarde devient ainsi elle-même la cible principale de l’attaque.

Les données d’incidents révèlent le même schéma. Dans la grande majorité des cas, les attaquants tentent activement de compromettre les sauvegardes. Dans plus de la moitié de ces cas, ils y parviennent. Lorsque la sauvegarde échoue, les coûts de restauration augmentent sensiblement, faute de chemin de retour rapide.

94 %
des organisations victimes de ransomware rapportent que les attaquants ont tenté délibérément de compromettre leurs sauvegardes.
Source : Sophos, State of Ransomware

L’exigence change donc de nature. La simple existence d’une sauvegarde ne suffit plus. Elle doit résister à un attaquant qui la recherche activement. Un système de sauvegarde accessible avec les mêmes identifiants que le reste du réseau demeure une partie de l’infrastructure compromettable.

Ce que la règle 3-2-1-1-0 exige au-delà de l’ancienne règle

La règle classique 3-2-1 est née à une époque où la perte de données survenait avant tout pour des raisons techniques : un support défaillant, un incendie, une suppression accidentelle. Elle reste efficace contre ces cas aujourd’hui encore. En revanche, face à un attaquant qui explore activement l’infrastructure, elle présente une faille. Les deux positions supplémentaires comblent précisément cette lacune.

Position Signification Protège contre
3 copies Original plus deux sauvegardes la perte de données isolée
2 supports deux types de stockage différents les défaillances de support
1 externe une copie sur un site distant les sinistres sur site
1 immuable ou hors ligne copie non supprimable ou isolée les accès par ransomware
0 erreur restauration vérifiée la défaillance silencieuse en cas d’urgence

Les trois premières positions restent la règle familière. La quatrième position et le zéro la renforcent contre les ransomwares. Au moins une sauvegarde se trouve hors de portée de l’attaquant. La restauration est testée, pas seulement documentée.

Ce qu’apportent l’immuabilité et l’air gap en cas d’urgence

Derrière la quatrième position se cachent deux notions souvent utilisées comme synonymes, mais qui ne désignent pas la même chose. L’immuabilité signifie que la sauvegarde ne peut être ni modifiée ni supprimée pendant une période définie, même par un administrateur dont les droits ont été compromis. Sur le plan technique, cela repose sur des procédés tels que l’Object Lock ou le stockage en écriture unique.

L’air gap, lui, désigne l’isolation. La copie se trouve logiquement ou physiquement en dehors de tout réseau accessible à un attaquant. Ce n’est qu’en combinant les deux propriétés que l’on obtient une sauvegarde capable de résister de manière fiable à une attaque sérieuse. Une copie immuable sur un système accessible peut être contournée si l’attaquant parvient à manipuler les règles de rétention. Une copie isolée sans protection en écriture peut être écrasée lors de la prochaine connexion. C’est leur combinaison qui rend la sauvegarde véritablement sûre.

Le test que personne ne fait

Le zéro dans la règle est l’élément le plus inconfortable, parce qu’il exige du travail. Créer une sauvegarde est une routine, la restaurer ne l’est pas. C’est précisément pourquoi le test de restauration reste théorique dans de nombreuses organisations, jusqu’au jour où un incident l’impose. On découvre alors que la sauvegarde était incomplète, qu’une clé manque, que la restauration prend des jours plutôt que des heures. Ces mauvaises surprises appartiennent au test, pas à l’incident.

Ce qui fait défaut

  • Sauvegardes accessibles avec les mêmes droits d’administration que le réseau de production
  • Immuabilité supposée, mais jamais vérifiée contre les manipulations
  • Restauration exercée uniquement sur le papier, jamais dans des conditions réelles
  • Délai de restauration inconnu jusqu’à ce que l’incident le mesure

Ce qui tient

  • Une copie immuable et une copie séparée en dehors du domaine
  • Identifiants propres au système de sauvegarde, distincts de l’exploitation quotidienne
  • Tests de restauration réguliers avec mesure du délai de rétablissement
  • Un environnement de restauration isolé pour faire face à l’incident

La différence entre les deux colonnes ne coûte pas une licence plus onéreuse. Elle coûte de la discipline. Une sauvegarde n’est pas un achat que l’on coche et oublie, mais un processus qui doit faire ses preuves. Celui qui prend au sérieux le quatrième élément et teste régulièrement le zéro dispose, le moment venu, du seul levier capable de rendre une attaque inopérante.

Foire aux questions

Que signifie exactement la règle de sauvegarde étendue ?

Trois copies des données sur deux supports différents, dont une en dehors du site. À cela s’ajoutent une copie immuable ou conservée hors ligne et l’exigence que la restauration ait été testée sans aucune erreur. Les deux derniers éléments renforcent la règle classique 3-2-1 pour la rendre spécifiquement résistante aux ransomwares qui s’attaquent aux sauvegardes.

Pourquoi l’ancienne règle 3-2-1 ne suffit-elle plus ?

Elle protège contre les pertes de données d’origine technique – pannes, incendies ou suppressions accidentelles – mais pas contre un attaquant qui parcourt activement l’infrastructure. Si toutes les copies sont en ligne et accessibles avec les mêmes droits, un ransomware peut les chiffrer également. Seule une copie immuable ou séparée comble cette lacune.

Quelle est la différence entre l’immuabilité et un air gap ?

L’immuabilité signifie qu’une sauvegarde ne peut être modifiée ni supprimée pendant une période définie, même avec des droits d’administration. L’air gap signifie une séparation de tout réseau accessible. Ce n’est qu’en combinant les deux propriétés que l’on obtient une copie capable de résister de manière fiable à une attaque sérieuse. Prises isolément, chacune peut être contournée.

À quelle fréquence faut-il effectuer un test de restauration ?

Régulièrement, et pour les systèmes véritablement critiques, au moins une fois par trimestre. Il est important de ne pas seulement vérifier la relecture de fichiers individuels, mais la restauration complète d’un système, durée mesurée incluse. C’est la seule façon de transformer la simple hypothèse que la sauvegarde fonctionne en un chiffre fiable et vérifiable.

Qu’est-ce qu’un environnement de restauration isolé ?

Un espace cloisonné dans lequel les systèmes peuvent être restaurés depuis la sauvegarde et contrôlés, sans toucher un réseau de production potentiellement encore compromis. Cela permet de s’assurer que la restauration est propre et ne réintroduit pas le code malveillant qui a déclenché l’incident.

Conseils de lecture de la rédaction

Plus du réseau MBF Media

cloudmagazin

Le Platform Engineering n’est plus un simple projet DevEx

digital-chiefs

Pourquoi le CISO ne porte pas seul la charge de la conformité

mybusinessfuture

Ce que le Stanford AI Index signifie pour les PME

Source de l’image : image de couverture générée par IA (juin 2026), certificat C2PA intégré dans l’image

Imprimer l'article
Alec Chizhik

À propos de l'auteur: Alec Chizhik

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH