/ Sécurité / Entre sauvegarde hors ligne et ransomware, l’équilibre qui protège vos données
Deux professionnels dans un bureau moderne discutent d'une stratégie de sauvegarde, l'un montrant un disque dur externe posé sur le bureau à son collègue
Publié le 23 avril 2026

Prenons une situation qui se répète trop souvent : une PME sauvegarde ses fichiers chaque nuit sur un serveur NAS connecté en permanence au réseau local. Un matin, un collaborateur ouvre une pièce jointe piégée. En quelques minutes, le ransomware chiffre non seulement les postes de travail, mais aussi l’intégralité du serveur de sauvegarde. Résultat : six mois de données perdues, aucune possibilité de restauration, et un coût de reconstruction qui dépasse les 45 000 . Ce scénario n’a rien d’hypothétique.

Les cybercriminels ciblent désormais vos sauvegardes en priorité, sachant qu’une entreprise privée de ses copies de secours n’a d’autre choix que de payer la rançon ou de tout reconstruire. Le rapport d’activité 2025 de Cybermalveillance.gouv.fr confirme cette tendance : 2 700 demandes d’assistance pour rançongiciels ont été enregistrées en 2025, soit une hausse de 10 % par rapport à l’année précédente, avec 1 691 cas concernant spécifiquement les professionnels.

L’équilibre entre accessibilité des sauvegardes et protection contre les ransomwares repose sur une architecture réfléchie : combiner supports locaux déconnectés, copies cloud chiffrées et tests réguliers de restauration. Ce guide détaille la stratégie 3-2-1, les erreurs critiques à éviter et les critères de choix matériel pour sécuriser vos données professionnelles sans compromettre leur disponibilité.

Votre plan d’action sauvegarde en 30 secondes :

  • Appliquer la règle 3-2-1 : 3 copies de vos données critiques sur 2 supports différents dont 1 déconnecté physiquement du réseau
  • Déconnecter systématiquement votre disque externe après chaque sauvegarde pour garantir l’isolation totale (air-gap)
  • Tester vos restaurations tous les trimestres minimum : une sauvegarde jamais testée est une promesse non vérifiée
  • Vérifier la conformité RGPD si vous stockez des données personnelles, avec notification CNIL obligatoire sous 72 heures en cas de violation

La montée en puissance des ransomwares en 2025-2026 force les entreprises à repenser intégralement leur stratégie de sauvegarde. Là où une simple copie quotidienne sur serveur NAS semblait suffire il y a encore deux ans, les modes opératoires actuels ciblent désormais en priorité ces copies de secours pour maximiser la pression sur les victimes.

Face à cette évolution tactique, la règle 3-2-1 s’impose comme le socle minimal de protection : 3 copies de vos données critiques, sur 2 supports technologiquement différents, dont 1 déconnectée physiquement ou stockée hors site. Ce guide détaille cette stratégie, identifie les erreurs critiques qui annulent vos sauvegardes, et chiffre les délais réels de restauration selon vos choix techniques.

Ce guide structure votre démarche de protection des sauvegardes en 5 étapes clés :

Au sommaire
  1. Ransomware : pourquoi vos sauvegardes deviennent la première cible
  2. Sauvegarde locale, cloud ou hybride : le match face aux ransomwares
  3. La règle 3-2-1 : votre protocole anti-ransomware en 3 étapes
  4. Les 4 erreurs qui annulent vos sauvegardes face aux attaques
  5. Vos questions sur la protection des sauvegardes

Ransomware : pourquoi vos sauvegardes deviennent la première cible

Les attaques par rançongiciel ont franchi un cap tactique en 2025. Là où les premières vagues ciblaient aveuglément les données de production, les variantes actuelles analysent d’abord le réseau pour localiser et neutraliser les sauvegardes avant de lancer le chiffrement massif. Le Panorama de la cybermenace 2025 publié par l’ANSSI établit que les attaques par ransomware restent l’une des premières causes d’interruption opérationnelle en Europe, avec une persistance des modes opératoires ciblant simultanément les infrastructures de production et leurs copies de secours.

80 %

Part des entreprises françaises ne s’estimant pas suffisamment préparées face aux cyberattaques en 2025

Cette méconnaissance des risques se traduit concrètement par une architecture de sauvegarde vulnérable. Lorsqu’un serveur NAS reste accessible en permanence via le réseau local, avec ses partages montés sur les postes de travail, il devient mécaniquement une cible prioritaire. Le ransomware suit simplement les chemins réseau déjà ouverts : si votre sauvegarde quotidienne est visible depuis un poste infecté, elle sera chiffrée au même titre que vos fichiers de travail. Aucune barrière technique ne protège ce qui reste connecté en continu.

Les vecteurs d’infection les plus fréquemment observés en 2025 confirment cette logique d’exploitation des accès permanents : failles sur connexions VPN mal configurées, protocoles RDP exposés sans authentification forte, et équipements de bordure (routeurs, pare-feu) non mis à jour. Une fois l’accès obtenu, le rançongiciel dispose de tout le temps nécessaire pour cartographier l’infrastructure et identifier les volumes de sauvegarde avant de déclencher le chiffrement. Au-delà de la protection des données elles-mêmes, la sécurité des accès VPN constitue un autre maillon critique pour limiter les points d’entrée sur votre réseau.

Privilégier les interfaces USB 3.2 divise par deux vos temps de sauvegarde



Sauvegarde locale, cloud ou hybride : le match face aux ransomwares

Comparer les trois stratégies de sauvegarde ne se résume pas à opposer le cloud au disque dur externe. Il s’agit d’évaluer cinq critères déterminants :

  • La protection effective contre un ransomware qui chiffre en temps réel
  • Le coût d’acquisition initial
  • Le délai réel de restauration pour reprendre l’activité
  • La complexité de gestion quotidienne
  • La conformité aux obligations RGPD de protection des données personnelles

Pour constituer cette première ligne de défense locale, les catalogues spécialisés comme bruneau.fr proposent une sélection de 124 disques durs externes professionnels (Western Digital, Seagate, Toshiba) avec des capacités de 500 Go à 22 To et des interfaces USB 3.0 à 3.2, permettant de choisir précisément le support adapté au volume de données à protéger et aux débits de transfert requis. Cette diversité technique facilite la mise en place d’une stratégie graduée selon la criticité de chaque périmètre de données.

Données comparatives récoltées et mises à jour en janvier 2026.

Locale, cloud ou hybride : le match en 5 critères
Stratégie Protection ransomware Coût initial Délai restauration 2 To Complexité gestion Conformité RGPD
Sauvegarde locale seule (disque externe déconnecté) Maximale (air-gap, aucune exposition réseau) ~80-200 € (moyennes constatées) ~2-4 heures (USB 3.2) Manuelle (connexion/déconnexion) Totale (données France)
Sauvegarde cloud seule Variable (dépend isolation comptes fournisseur) ~15-50 €/mois (estimation) ~12-48 heures selon débit Automatisée À vérifier (localisation serveurs)
Stratégie hybride (locale déconnectée + cloud) Renforcée (double isolation) ~100-250 € (moyennes constatées) + ~10-30 €/mois (estimation) ~2-4 heures (locale) ou ~12-48h (cloud secours) Mixte (automatisation partielle) À vérifier pour copie cloud

La sauvegarde hybride combine les atouts de chaque approche : la rapidité de restauration du disque externe pour reprendre l’activité en quelques heures, et la redondance géographique du cloud pour sécuriser une copie distante en cas de sinistre physique (incendie, inondation, vol du matériel). Cette double protection reste la configuration la plus équilibrée pour les PME manipulant des volumes de données critiques supérieurs à 500 Go.

L’erreur fréquente consiste à privilégier exclusivement le cloud en pensant déléguer totalement la sécurité au prestataire. Dans les faits, un ransomware qui compromet vos identifiants d’accès cloud peut tout aussi bien chiffrer ou supprimer vos sauvegardes distantes si elles restent accessibles en écriture depuis les comptes compromis. La solution locale déconnectée physiquement après chaque cycle de sauvegarde élimine ce vecteur d’attaque par conception : ce qui n’est pas branché ne peut pas être chiffré à distance.

La règle 3-2-1 : votre protocole anti-ransomware en 3 étapes

Prenons un cas de figure observé régulièrement : un cabinet comptable de 15 personnes sauvegarde l’intégralité de ses dossiers clients sur une solution cloud uniquement. Un collaborateur se fait piéger par un email de phishing parfaitement imité, livrant ses identifiants de connexion. Le ransomware chiffre les postes locaux, puis remonte via les identifiants cloud pour chiffrer également les sauvegardes distantes. Résultat : 72 heures d’interruption totale le temps que le fournisseur cloud restaure une copie antérieure, 18 000 de coût d’opportunité estimé, et des clients mécontents. La migration vers une stratégie hybride avec disques externes rotatifs déconnectés aurait permis une restauration en 4 heures au lieu de 3 jours.

Un NAS accessible en permanence reste vulnérable au chiffrement ransomware simultané



La première copie correspond à vos données de production en cours d’utilisation. Les deux copies supplémentaires constituent vos sauvegardes proprement dites. Identifiez précisément le périmètre critique : fichiers comptables, bases clients, documents contractuels, données de production. Pour une PME de 20 à 50 salariés, ce volume représente généralement entre 500 Go et 2 To une fois exclu le cache système et les fichiers temporaires. Synchronisez ces trois copies selon une fréquence adaptée à la criticité : quotidienne pour les données modifiées en continu, hebdomadaire pour les archives stables.

La diversification des supports élimine le point unique de défaillance matériel. Une configuration courante combine un disque dur externe USB 3.2 de 2 To pour la copie locale immédiate, et un abonnement cloud de 1 To pour la copie distante complémentaire. L’interface de connexion influe directement sur les temps de transfert : un disque USB 3.2 (10 Gb/s théoriques) divise par deux le temps de sauvegarde par rapport à un modèle USB 3.0 (5 Gb/s), réduisant la fenêtre pendant laquelle le support reste branché et exposé.

Le concept d’air-gap (littéralement « espace d’air ») désigne l’isolation physique complète d’un support de sauvegarde, déconnecté de tout réseau informatique. Concrètement, cela signifie débrancher le disque dur externe immédiatement après la fin du cycle de sauvegarde et le ranger dans un tiroir verrouillé ou un coffre. Aucun ransomware ne peut chiffrer ce qui n’est pas accessible via le réseau au moment de l’attaque. Cette copie peut également être stockée hors site dans un second local pour protéger contre les sinistres physiques. La rotation hebdomadaire de deux disques externes identiques offre un équilibre praticable entre sécurité et simplicité.

Mise en œuvre de la règle 3-2-1
  1. Identifier les données critiques

    Listez les répertoires contenant les fichiers essentiels à l’activité (comptabilité, bases clients, contrats, données produit) et mesurez le volume total à sauvegarder.

  2. Acquérir 2 disques externes identiques

    Choisissez une capacité supérieure de 30 % au volume actuel pour anticiper la croissance. Préférez les modèles professionnels avec garantie constructeur étendue.

  3. Configurer une sauvegarde automatisée

    Utilisez un logiciel de sauvegarde incrémentielle (qui ne copie que les modifications depuis la dernière sauvegarde) pour réduire les temps de traitement quotidiens.

  4. Débrancher le disque après chaque cycle

    Une fois la sauvegarde terminée et vérifiée, déconnectez physiquement le disque externe et rangez-le dans un emplacement sécurisé (tiroir verrouillé, coffre).

  5. Externaliser la seconde copie

    Chaque semaine, emportez le second disque hors site et mettez-le à jour, puis ramenez-le pour rotation. Cette alternance garantit qu’une copie récente reste toujours isolée géographiquement.

Votre checklist validation 3-2-1
  • Vérifier que les 3 copies existent bien : production + locale + cloud (ou 2e disque)
  • Confirmer que les 2 supports utilisent des technologies différentes (disque + cloud, ou disque + bande, etc.)
  • S’assurer qu’au moins 1 copie est déconnectée physiquement ou stockée hors site au moment où vous lisez cette ligne
  • Documenter la fréquence de sauvegarde appliquée (quotidienne, hebdomadaire) et la respecter
  • Planifier un test de restauration complet dans les 30 jours suivants pour valider la procédure

Pour approfondir votre réflexion sur le choix des supports physiques et leurs critères de fiabilité selon votre infrastructure, le guide sur les dispositifs de sauvegarde fiables détaille les spécifications techniques à privilégier en fonction des volumes manipulés et des exigences de disponibilité.

Les 4 erreurs qui annulent vos sauvegardes face aux attaques

L’idée reçue la plus dangereuse en matière de sauvegarde consiste à croire que sauvegarder suffit. Dans les faits, une sauvegarde mal architecturée offre une fausse sécurité : elle rassure jusqu’au jour où le ransomware la chiffre simultanément avec les données de production, ou jusqu’au moment où vous découvrez qu’une restauration complète nécessite 5 jours au lieu des 4 heures annoncées. Les quatre erreurs suivantes transforment une stratégie de sauvegarde en simple formalité administrative sans valeur opérationnelle réelle.

Les 4 pièges critiques qui compromettent vos sauvegardes
  • Laisser les sauvegardes connectées en permanence au réseau : NAS, lecteurs réseau montés, comptes cloud accessibles en écriture depuis les postes compromis
  • Ne jamais tester les restaurations : une sauvegarde non testée est une hypothèse, pas une garantie fonctionnelle
  • Confier la totalité des copies à un seul fournisseur cloud sans redondance locale rapide
  • Négliger la rotation physique des supports : utiliser un seul disque externe sans alternance expose à la perte totale en cas de panne matérielle

Risque critique : le piège de la sauvegarde réseau permanente

Un serveur NAS ou un lecteur réseau configuré pour être accessible en permanence depuis les postes de travail se comporte, du point de vue du ransomware, exactement comme un simple dossier partagé. Le chiffrement s’applique à tout ce qui reste montant et accessible en écriture au moment de l’attaque. La seule protection efficace consiste à déconnecter physiquement ou logiquement (démontage des partages) les supports de sauvegarde entre deux cycles programmés.

Déconnecter physiquement après chaque sauvegarde élimine tout vecteur d’attaque réseau



La fréquence de sauvegarde adaptée dépend directement de deux variables : le volume de données à protéger et la criticité de ces données pour la continuité de votre activité. Une entreprise qui peut se permettre de perdre 7 jours de travail n’a pas les mêmes exigences qu’un cabinet comptable où chaque journée produit des écritures définitives non reconstituables. L’arbre décisionnel suivant vous guide selon votre situation.

Quelle fréquence de sauvegarde selon votre criticité ?
  • Volume inférieur à 500 Go + criticité faible (documents bureautiques, emails)
    Sauvegarde hebdomadaire locale sur disque externe déconnecté + sauvegarde mensuelle cloud pour redondance géographique
  • Volume inférieur à 500 Go + criticité haute (comptabilité, base clients)
    Sauvegarde quotidienne locale sur disque externe déconnecté + sauvegarde hebdomadaire cloud pour sécurisation distante
  • Volume entre 500 Go et 2 To + criticité haute (production, données sensibles)
    Sauvegarde quotidienne hybride : incrémentielle locale déconnectée + différentielle cloud hebdomadaire pour limiter les volumes transférés
  • Volume supérieur à 2 To + criticité haute (archives, données métier volumineuses)
    Sauvegarde quotidienne incrémentielle locale sur disque externe déconnecté + sauvegarde complète cloud mensuelle, avec rotation de 2 disques physiques pour éviter point unique de défaillance

Pour garantir l’exécution effective de vos sauvegardes automatiques et détecter toute anomalie rapidement (disque plein, échec de transfert, corruption de fichiers), une supervision du parc informatique rigoureuse devient indispensable. Les tests de restauration réguliers — au minimum trimestriels — permettent de valider non seulement l’intégrité des copies, mais aussi les délais réels de remise en service, souvent très éloignés des estimations théoriques.

Vos questions sur la protection des sauvegardes

Vos questions sur la sauvegarde anti-ransomware
Combien de temps faut-il pour restaurer 2 To de données sur un disque dur USB 3.0 ?

Le délai de restauration dépend directement de l’interface utilisée et de la performance du support. Avec un disque dur USB 3.0 (débit réel moyen de 100 à 150 Mo/s en lecture), la restauration de 2 To nécessite généralement entre 4 et 6 heures en conditions réelles. Un disque USB 3.2 Gen 2 (débit réel de 200 à 300 Mo/s) divise ce temps par deux, ramenant la fenêtre à 2 heures et demie environ. Ces durées s’entendent pour une restauration complète ; une restauration partielle de fichiers critiques peut être réalisée en quelques minutes si vous avez identifié à l’avance les répertoires prioritaires.

Un disque dur externe déconnecté suffit-il ou faut-il aussi une sauvegarde cloud ?

Un disque externe déconnecté physiquement après chaque sauvegarde (air-gap) protège efficacement contre les ransomwares réseau, mais reste vulnérable aux sinistres physiques : incendie, inondation, vol du matériel sur site. La combinaison disque local déconnecté + copie cloud distante offre une protection à double détente : restauration rapide depuis le disque pour reprendre l’activité en quelques heures, et copie cloud de secours pour récupérer les données en cas de destruction physique du site. Pour une PME manipulant des données critiques, cette redondance géographique constitue le niveau de sécurité recommandé.

À quelle fréquence tester mes restaurations de sauvegarde ?

La fréquence minimale recommandée est trimestrielle, avec un test de restauration complet sur un échantillon représentatif de fichiers (10 à 20 % du volume total). Ce test doit mesurer non seulement l’intégrité des fichiers restaurés, mais aussi le délai effectif de remise en service, les éventuelles erreurs d’accès ou corruptions, et la procédure opérationnelle suivie. Documentez chaque test dans un registre daté : en cas d’incident réel, cette documentation accélère la prise de décision et réduit le stress lié à l’urgence. Une sauvegarde jamais testée reste une promesse non vérifiée.

Les disques durs externes sont-ils fiables sur le long terme pour archiver des données critiques ?

Les disques durs externes professionnels affichent une durée de vie moyenne de 3 à 5 ans en usage normal, avec un taux de panne annuel (AFR) généralement inférieur à 2 % pour les modèles de marques reconnues (Western Digital, Seagate, Toshiba). Cette fiabilité reste cependant conditionnée à deux facteurs : la rotation régulière des supports (remplacer les disques tous les 3 ans) et les conditions de stockage (température stable, absence de chocs). Pour l’archivage long terme au-delà de 5 ans, privilégiez une stratégie multi-supports combinant disques rotatifs + cloud chiffré, avec vérification annuelle de l’intégrité des fichiers via des sommes de contrôle (checksum).

Quelles obligations RGPD s’appliquent aux sauvegardes de données personnelles ?

L’article 32 du RGPD impose des mesures techniques et organisationnelles appropriées pour garantir la sécurité des traitements, ce qui inclut explicitement la capacité à restaurer la disponibilité des données en cas d’incident. Comme l’impose le guide sécurité RGPD de la CNIL, vous devez tenir un registre interne de toutes les violations de données personnelles et notifier à la CNIL, dans les 72 heures, les violations présentant un risque pour les droits et libertés des personnes. Un incident ransomware touchant simultanément la disponibilité, la confidentialité et l’intégrité des données déclenche cette obligation de notification. La conformité RGPD exige également de vérifier la localisation géographique des serveurs cloud utilisés pour vos sauvegardes.

Les attaques par ransomware continueront de cibler en priorité les infrastructures de sauvegarde tant qu’elles représenteront le maillon faible des entreprises. Plutôt que d’attendre le scénario catastrophe, la mise en place progressive d’une stratégie 3-2-1 avec déconnexion physique transforme vos sauvegardes d’une simple formalité administrative en véritable police d’assurance opérationnelle. Chaque jour sans protection adaptée augmente mécaniquement le risque d’interruption prolongée et de perte de données irréversible.

Points de vigilance sur la mise en œuvre

Limites de ce guide :

  • Ce guide présente des principes généraux de sauvegarde et ne remplace pas un audit de sécurité personnalisé par un expert certifié
  • Les délais et coûts mentionnés sont des moyennes constatées en 2025-2026 et varient selon votre infrastructure
  • Chaque entreprise nécessite une analyse spécifique de ses risques et volumes de données avant mise en œuvre

Risques à prendre en compte :

  • Risque de restauration impossible si tests de sauvegarde non effectués régulièrement
  • Risque de chiffrement des sauvegardes réseau si connectées en permanence lors d’une attaque
  • Risque de non-conformité RGPD si données sauvegardées hors UE sans garanties appropriées

Organisme à consulter : Prestataire informatique qualifié (certifications ANSSI, ISO 27001) ou expert cybersécurité pour un audit adapté à votre situation.

Rédigé par Marc Valentin, rédacteur web spécialisé en cybersécurité et protection des données, s'attachant à décrypter les menaces actuelles, analyser les solutions techniques et croiser les recommandations officielles (ANSSI, CNIL) pour offrir des guides pratiques et factuels aux professionnels
Guide pratique sur la mise en conformité RGPD
Comment améliorer la sécurité informatique de votre entreprise ?
Simplifiez vos démarches avec l’envoi de lettre RAR en ligne
Pourquoi trouver un réparateur informatique à domicile ?
Le stockage sur disque : une méthode populaire pour sauvegarder des données
Trouver un spécialiste du nettoyage de Mac
Comment fonctionne une imprimante multifonction laser ?
A quoi peut servir une imprimante 3D dans une entreprise ?
Les fonctionnalités indispensables d’une imprimante multifonction
MDM vs PIM, vers une complémentarité ?
Choisir son hébergeur web en ligne