Aller au contenu

Retour d’expérience : bonnes pratiques de sauvegarde face à la réalité des incidents

Infos Cyber

mai 27, 2025

3 minutes de lecture

Après plus d’un an à intervenir sur des incidents (rançongiciels, pertes de données, compromissions de tenants…), une chose est claire : la sauvegarde ne prévient pas l’attaque, mais elle en limite les conséquences.

Souvent perçue comme une simple précaution technique, la sauvegarde est en réalité un maillon essentiel de la continuité d’activité. En cas d’attaque, elle fera toute la différence dans la phase de remédiation, surtout si vos données sont chiffrées, pour redémarrer au plus vite.

Des fondations solides : la règle du 3-2-1

La stratégie 3-2-1 reste une base éprouvée :

  • 3 copies des données : l’originale + deux sauvegardes,
  • 2 types de supports différents : pour éviter les défaillances communes (disque + bande, par exemple),
  • 1 copie hors ligne, totalement déconnectée du réseau.

L’immuabilité ne suffit pas

Les sauvegardes immuables (verrouillées contre suppression ou modification) ne garantissent pas la disponibilité des données en cas d’attaque.
Nous avons observé des attaques visant directement l’infrastructure de virtualisation (ex. : chiffrement des hyperviseurs ou des fichiers VM), rendant les sauvegardes inaccessibles – même immuables – si elles restent dans un environnement compromis.
La seule vraie garantie est de disposer d’au moins une copie totalement hors ligne, réellement isolée du reste du SI.

Bien dimensionner votre infrastructure de sauvegarde

Une sauvegarde doit pouvoir être restaurée rapidement. Pour cela, effectuez des tests de restauration, prévoyez assez d’espace de stockage (avec une marge) et un bon débit de restauration.
L’objectif : redémarrer sans blocage en cas d’incident.

Vos espaces de collaboration (M365, Google Workspace) ne sont pas des solutions de sauvegarde

Contrairement à une idée reçue, les environnements collaboratifs dans le cloud (messagerie, partage de fichiers, outils bureautiques en ligne, etc.) ne garantissent pas une sauvegarde complète. Ils offrent des fonctions de rétention ou de restauration, mais souvent limitées. Comme nous l’avons observé lors d’incidents, la compromission d’un compte administrateur d’un tenant peut conduire à la suppression ou l’altération massive de données du tenant.

Il est important de :

  • sécuriser les comptes sensibles (MFA, journalisation, alertes, principe du moindre privilège),
  • intégrer la sauvegarde de vos espaces collaboratifs à votre stratégie globale.

En résumé : ce qui fait vraiment la différence

Sauvegarder ne vous protège pas d’une attaque, mais vous permet d’y survivre.
Ce qui fait la différence, ce sont des sauvegardes :

  • régulièrement testées,
  • fiables et rapidement restaurables,
  • bien dimensionnées pour votre activité,
  • et isolées du système compromis.

Partager :

Abonnez-vous à la newsletter
Breizh Cyber