KKOLOSALTech

Sauvegarde 3-2-1 anti-ransomware : la méthode qui marche en 2026

·8 min de lecture

Méthode 3-2-1 augmentée pour sauvegardes immunisées contre les ransomwares modernes. Architecture, choix matériel, fréquence, tests de restauration.

La règle 3-2-1 a 30 ans. Elle reste la base, mais les ransomwares 2024-2026 ciblent activement les sauvegardes. Voici la version augmentée qui marche vraiment.

Rappel : la règle 3-2-1 classique

  • 3 copies de la donnée (1 prod + 2 sauvegardes)
  • 2 supports différents
  • 1 copie hors-site

Cette règle protégeait du sinistre physique (incendie, vol, panne disque). Elle ne protège plus du ransomware moderne, qui cherche d'abord à chiffrer ou supprimer les sauvegardes.

3-2-1-1-0 : la version 2026

L'industrie ajoute deux contraintes :

  • +1 immuable : au moins une copie qui ne peut être ni modifiée ni supprimée pendant la rétention (Object Lock S3, hardened repository Veeam Linux, bandes LTO offline)
  • +0 erreur au test de restauration mensuel

Architecture type pour PME 30 postes + 2 serveurs

  • Sauvegarde primaire : Veeam Backup & Replication sur NAS Synology RS2423+ avec snapshots BTRFS (rétention 30 jours)
  • Sauvegarde secondaire immuable : copie vers Wasabi Hot Cloud Storage région Paris avec Object Lock 90 jours
  • Sauvegarde tertiaire offline : bandes LTO-9 ou disque USB rotatif, déconnecté physiquement après chaque backup

Fréquence et rétention

  • Données prod (DB, file server) : RPO 1h, sauvegarde toutes les heures, rétention 7j de granularité
  • Snapshots quotidiens : 30 jours
  • Snapshots hebdo : 12 semaines
  • Snapshots mensuels : 12 mois
  • Annuel : 7 ans (compliance)

Tests de restauration : le critère qui sépare les pros

Une sauvegarde non testée n'est pas une sauvegarde. Mensuel minimum :

  • Restauration d'un fichier aléatoire (granulaire)
  • Restauration d'une VM complète dans un sandbox isolé
  • Mesure du RTO réel (temps de remise en route)
  • Documentation : qui a testé, quand, résultat

Veeam SureBackup automatise cette validation hebdomadaire — fortement recommandé.

Anti-pattern à éviter

  • Sauvegarde sur le même domaine AD que la prod (compromission AD = compromission backup)
  • NAS de sauvegarde joint au domaine sans isolation
  • Compte service backup avec privilèges Domain Admin
  • Pas de chiffrement at-rest sur le NAS de backup
  • Cloud backup avec mêmes credentials que la console admin

Coût indicatif PME 30 postes

  • NAS Synology RS2423+ + 8× HDD 16 To : ~6 500 € HT
  • Licence Veeam Backup & Replication : ~2 500 €/an
  • Wasabi Hot Cloud Storage 5 To : ~35 €/mois
  • Setup + tests + documentation : 3-5 j-h prestation

Conclusion

3-2-1-1-0 est la nouvelle norme. L'immuabilité n'est plus optionnelle face aux ransomwares 2026. Si vous n'avez pas testé une restauration depuis 6 mois, considérez vos sauvegardes comme inexistantes jusqu'à preuve du contraire.

#Sauvegarde#Ransomware#Veeam#Wasabi
Guide gratuit · 30 pages

Cybersécurité PME 2026 — le guide essentiel

NIS2, sauvegarde 3-2-1, MFA, EDR, plan d'action 90 jours.

Recevoir le guide

Un projet IT/SIC ou export à étudier ?

Parlons de votre besoin concret. Réponse sous 24/48h ouvrés.

Demander un devis