Sauvegarde immuable 3-2-1-1-0 : la méthode anti-ransomware pour PME (2026)
# Sauvegarde immuable 3-2-1-1-0 : la méthode anti-ransomware pour PME (2026)
En 2025, 40 % des PME françaises victimes d'un ransomware sévère n'ont pas survécu au-delà de 18 mois (source : Hiscox Cyber Readiness Report 2025). Le point commun de celles qui s'en sortent ? Une sauvegarde que le ransomware ne pouvait ni chiffrer ni supprimer. C'est le principe du modèle 3-2-1-1-0 — un standard imposé par la plupart des assureurs cyber en 2026 et exigé par la directive NIS2 article 21.2.c au titre de la continuité d'activité.
Ce guide explique ce que veut dire chaque chiffre du modèle, comment évaluer si votre PME est réellement couverte, et pourquoi une sauvegarde immuable hébergée en France, hors Cloud Act, est devenue un prérequis, pas une option.
Ce que veut dire 3-2-1-1-0 (mesure par mesure)
3 copies de vos données
Une copie de production + deux copies de sauvegarde. Si une copie est corrompue, chiffrée ou perdue, il en reste au moins une saine. Attendez-vous à ce qu'une des trois soit indisponible au pire moment — donc trois, pas deux.
2 supports différents
Ne pas mettre toutes ses sauvegardes sur le même type de média. Historiquement : un disque local + une bande. Aujourd'hui : un stockage local rapide (NAS, SAN) + un stockage cloud objet. La raison : un incident matériel affectant un type de média (contrôleur RAID défaillant, virus qui cible un système de fichiers spécifique) ne touche pas l'autre.
1 copie hors site
Une copie physique éloignée. Un incendie, une inondation, un vol qui touche votre local ne doit pas emporter toutes vos sauvegardes. Pour une PME, la copie hors site = cloud sauvegarde, chez un hébergeur externe.
1 copie immuable
Le point clé anti-ransomware. Une sauvegarde immuable est non modifiable et non supprimable pendant une durée définie, même par un compte administrateur compromis. C'est ce qu'on appelle le WORM (Write Once, Read Many) ou l'Object Lock. Sans ce cran de sécurité, un attaquant qui a obtenu vos identifiants admin efface vos sauvegardes avant de chiffrer votre production. Fini.
0 erreur de restauration
Une sauvegarde qui n'a jamais été restaurée n'existe pas. Il faut tester régulièrement (idéalement trimestriellement) : restauration d'un fichier, d'un dossier, d'un serveur complet, d'une VM. L'ANSSI et les assureurs cyber sanctionnent désormais l'absence de tests documentés.
Pourquoi le modèle 3-2-1 classique ne suffit plus en 2026
Le modèle 3-2-1 date des années 2000 (Peter Krogh, photographe). Il protégeait bien contre les pannes matérielles, les erreurs humaines et les sinistres locaux. Mais il a été conçu avant l'ère du ransomware moderne.
Le problème : dans un scénario ransomware, l'attaquant reste plusieurs semaines dans votre SI avant de déclencher le chiffrement (« dwell time » moyen = 21 jours selon Mandiant M-Trends 2025). Pendant ce temps, il cartographie vos sauvegardes et compromet vos identifiants admin. Puis, la veille du chiffrement, il efface ou altère vos sauvegardes. Le lendemain, votre production est chiffrée et vous n'avez plus rien à restaurer.
L'ajout du 1 immuable rend cette phase d'effacement impossible, même avec les meilleurs identifiants admin. C'est ce qui fait basculer un incident majeur en un simple sinistre récupérable.
Comment mettre en place 3-2-1-1-0 dans une PME
Pour vos postes de travail (PC / Mac / Linux)
Sauvegarde continue vers un stockage cloud immuable avec chiffrement de bout en bout. Rétention 30 jours minimum. Exemple : 1ACCES Backup couvre postes Windows / macOS / Linux dès 4,90 € HT / poste / mois, avec immuabilité WORM native et hébergement France (OVHcloud, hors Cloud Act).
Pour vos serveurs (physiques ou virtualisés)
Sauvegarde image bare-metal + fichier. Rétention GFS (Grand-père / Père / Fils) : quotidienne 30 j, hebdomadaire 12 semaines, mensuelle 12 mois. Rétention immuable au moins 14 jours — durée typique d'un dwell time attaquant.
Pour vos VMs et hyperviseurs
Snapshot périodique + réplication vers stockage immuable. Attention aux clichés locaux : un ransomware peut souvent les supprimer. Le stockage immuable externe est le seul rempart fiable.
Pour vos boîtes Microsoft 365 et Google Workspace
Erreur fréquente : croire que Microsoft ou Google sauvegardent vos emails. Non. Ils garantissent la disponibilité de leur service, pas la récupération de vos données après une suppression, un ransomware ou une compromission de compte. Ajoutez une couche de sauvegarde tierce (dès 2,90 € HT / boîte / mois avec 1ACCES Backup Microsoft 365).
Choisir un hébergeur souverain France, hors Cloud Act
Depuis 2018, le CLOUD Act américain autorise les autorités US à requérir l'accès aux données de toute entreprise soumise au droit américain — y compris pour des datacenters situés en Europe. Un hébergeur cloud comme Amazon Web Services, Microsoft Azure ou Google Cloud reste soumis au CLOUD Act, même sur ses régions européennes.
Pour vos sauvegardes cyber, la logique est claire : elles contiennent l'intégralité de vos données sensibles. Confier la copie ultime de votre patrimoine numérique à un opérateur soumis à une juridiction extra-européenne présente un risque de conformité RGPD et de souveraineté. C'est pourquoi 1ACCES Backup s'appuie sur OVHcloud, hébergeur français indépendant, hors CLOUD Act.
Tests de restauration : la seule preuve qui compte
Une sauvegarde non testée est une hypothèse, pas une garantie. Les scénarios à tester au moins une fois par trimestre :
- Fichier : restaurer un fichier de 100 Mo dans un dossier partagé, mesurer le temps.
- Dossier : restaurer un dossier de 5 Go avec sa structure et ses droits.
- Serveur complet (image bare-metal) : restaurer sur un serveur cible différent, vérifier le boot et les services.
- VM : restaurer une VM Hyper-V ou VMware, démarrer, tester la connectivité applicative.
- Boîte email M365 : restaurer une boîte mail complète avec calendrier et contacts.
Documenter chaque test avec la date, le volume restauré, le temps, et l'issue (OK / échec). Ce journal de restauration est ce que l'ANSSI et les assureurs vous demanderont en cas de contrôle ou de sinistre.
Ce qu'exige NIS2 en matière de sauvegarde
L'article 21.2.c de la directive NIS2 impose une politique de continuité d'activité documentée qui couvre : sauvegarde, gestion de crise, plan de reprise (PRA), plan de continuité (PCA). Les décrets d'application français en cours de rédaction précisent notamment :
- Sauvegardes chiffrées et immuables
- Rétention adaptée aux exigences métier (durées à définir par écrit)
- Tests de restauration au moins trimestriels
- Documentation des rôles et responsabilités (qui restaure quoi, en combien de temps)
- Objectifs RTO (Recovery Time Objective) et RPO (Recovery Point Objective) documentés
Sanctions en cas de non-conformité : jusqu'à 10 M€ ou 2 % du CA mondial, avec responsabilité personnelle du dirigeant.
Conclusion — passez au 3-2-1-1-0 en 30 jours
Une PME de 20 à 50 postes peut atteindre le niveau 3-2-1-1-0 en un mois, sans changer d'infrastructure :
1. Semaine 1 — cartographier ce qui doit être sauvegardé (postes, serveurs, VMs, M365). 2. Semaine 2 — activer un service de sauvegarde cloud immuable français (par exemple 1ACCES Backup dès 4,90 € HT / poste / mois). 3. Semaine 3 — lancer les premières sauvegardes complètes + valider la rétention. 4. Semaine 4 — premier test de restauration documenté (fichier + dossier + VM).
Coût moyen pour une PME 30 postes : environ 1 500 à 2 500 € HT / an, contre un coût moyen d'incident ransomware de 50 000 à 250 000 € (source ANSSI 2025). Le ratio parle de lui-même.
---
Pour aller plus loin :
- 💾 Solution Sauvegarde sécurisée 1ACCES Backup — immuable, France, hors Cloud Act
- 🛡️ Suite Cybersécurité 1A — EDR + SOC 24/7 + sensibilisation
- 🔍 Audit cybersécurité gratuit (30 min, plan sous 48h)
À lire aussi :