Sauvegarde immuable 3-2-1-1-0 : la défense qui survit au ransomware
93 % des ransomwares ciblent vos sauvegardes avant la production. La règle 3-2-1-1-0 immuable est la seule à survivre. Guide opérationnel PME 2026.
93 % des ransomwares ciblent vos sauvegardes avant la production. La règle 3-2-1-1-0 immuable est la seule à survivre. Guide opérationnel PME 2026.
En 2025, le rapport Veeam Ransomware Trends a livré un chiffre glaçant : dans 93 % des cyberattaques en zone EMEA, les attaquants ont délibérément ciblé les dépôts de sauvegarde avant de chiffrer la production. Pire, 39 % des entreprises touchées ont vu la totalité de leurs sauvegardes détruites, et seulement 10 % ont pu restaurer plus de 90 % de leurs données. La sauvegarde traditionnelle, même externalisée, ne suffit plus.
Côté France, l'ANSSI a recensé 128 attaques par rançongiciel majeures en 2025, dont 48 % visaient des PME, TPE et ETI (Panorama de la cybermenace 2025, CERT-FR). Selon Cybermalveillance.gouv.fr, le coût moyen d'une attaque sur une PME oscille entre 130 000 et 250 000 euros, et 60 % des PME victimes d'une attaque majeure déposent le bilan dans les 18 mois. Dans ce contexte, l'immuabilité des sauvegardes n'est plus une option : c'est la dernière ligne de défense crédible.
C'est précisément ce que formalise la règle 3-2-1-1-0, évolution recommandée par l'ANSSI dans son guide « Attaques par rançongiciels, tous concernés » et désormais standard de fait dans l'industrie. Cet article décortique cette méthode, ses pièges de mise en œuvre et les architectures concrètes qui fonctionnent en PME française en 2026.
La règle historique 3-2-1, popularisée dans les années 2000, prévoyait 3 copies des données, sur 2 supports différents, dont 1 hors site. Elle était conçue pour les sinistres physiques (incendie, vol, panne disque). Face au ransomware moderne, qui se propage sur le réseau et chiffre activement les NAS, les partages SMB et les buckets cloud accessibles, elle est devenue insuffisante.
La règle 3-2-1-1-0 ajoute deux exigences vitales :
| Chiffre | Signification | Objectif opérationnel |
|---|---|---|
| 3 | Copies des données | 1 production + 2 sauvegardes distinctes |
| 2 | Supports différents | Disque, bande, cloud, NAS : éviter le mode de défaillance unique |
| 1 | Copie hors site | Survivre à un incendie, un dégât des eaux, un vol au siège |
| 1 | Copie immuable ou air-gap | Survivre au ransomware qui chiffre tout ce qu'il atteint |
| 0 | Zéro erreur vérifiée | Tests de restauration réguliers, contrôle d'intégrité automatisé |
L'ajout du « 1 » immuable change radicalement la donne. Une sauvegarde immuable ne peut être ni modifiée, ni supprimée, ni chiffrée par quiconque, y compris l'administrateur, pendant toute la durée de rétention définie. Même un attaquant ayant compromis votre Active Directory et vos comptes d'administration cloud ne peut pas la toucher.
Le standard S3 Object Lock, supporté nativement par AWS, OVHcloud, Scaleway, Wasabi ou Backblaze, applique un modèle WORM (Write Once Read Many). En mode Compliance, personne, pas même le compte racine du tenant, ne peut supprimer un objet avant l'expiration de la rétention. C'est la protection la plus forte disponible aujourd'hui. Le mode Governance, lui, permet à un compte spécifique de lever le verrou : à proscrire pour une sauvegarde anti-ransomware.
Les appliances de sauvegarde modernes (Veeam Hardened Repository sur Linux durci, Rubrik, Cohesity, ExaGrid avec dépôts Retention Time-Lock) embarquent un noyau verrouillé qui refuse toute commande de suppression anticipée, même via SSH root. C'est la solution la plus performante pour les PME ayant un fort volume (>5 To) et des RTO courts.
La méthode la plus ancienne reste la plus radicale : un support déconnecté (bande LTO en coffre, disque USB rangé en armoire, NAS allumé uniquement durant la fenêtre de sauvegarde). Ce qui n'est pas branché ne peut pas être attaqué. Inconvénient : intervention humaine, RTO long. Bien adaptée aux archives légales et aux copies trimestrielles longue durée.
Le dernier chiffre, le « 0 » pour zéro erreur vérifiée, est statistiquement le plus négligé. Selon l'ENISA et plusieurs retours d'expérience du CERT-FR, près de 40 % des entreprises victimes découvrent au moment de la restauration que leurs sauvegardes sont corrompues, incomplètes ou non-bootables. La sauvegarde tourne, le voyant est vert, mais le fichier final est inexploitable.
Trois pratiques sont non négociables :
Ce dernier point est devenu déterminant : depuis 2025, la majorité des assureurs cyber exigent la preuve d'un test de restauration documenté pour activer la garantie. Sans procès-verbal, pas d'indemnisation.
Voici une architecture éprouvée que nous déployons en infogérance chez Infranat pour les structures de 20 à 250 collaborateurs, avec un budget mensuel compris entre 200 et 800 euros HT selon le volume.
| Niveau | Cible technique | Rétention | Rôle dans le 3-2-1-1-0 |
|---|---|---|---|
| T0 Production | Serveurs, M365, postes critiques | Temps réel | La donnée vivante |
| T1 Sauvegarde locale rapide | NAS Synology / appliance Veeam on-prem | 7 à 30 jours | Restauration rapide d'un fichier supprimé |
| T2 Cloud chiffré | Bucket S3 OVHcloud ou Scaleway, AES-256 client-side | 90 jours | Sauvegarde hors site |
| T3 Immuable | Object Lock Compliance sur bucket dédié, comptes séparés | 30 à 90 jours | La copie anti-ransomware |
| T4 Archive air-gap | Bande LTO ou disque déconnecté trimestriel | 1 à 7 ans | Conformité, archive longue durée |
Point critique souvent raté : les identifiants du bucket immuable doivent être stockés dans un coffre-fort hors AD (gestionnaire de mots de passe dédié, type Bitwarden ou 1Password Business, avec MFA matériel). Un attaquant qui prend le contrôle de votre Active Directory ne doit JAMAIS pouvoir atteindre la console du tenant cloud d'immuabilité. C'est le principe du separation of duties exigé par la directive NIS2.
Une croyance tenace fait des ravages : Microsoft ne sauvegarde pas vos données M365 au sens du PRA. La rétention native (corbeille 30 jours, Litigation Hold, versionning SharePoint) protège contre la suppression accidentelle, pas contre un ransomware qui chiffre l'ensemble de votre OneDrive synchronisé ou un administrateur compromis qui purge les boîtes Exchange Online.
Pour une infrastructure Microsoft 365, la règle 3-2-1-1-0 s'applique avec un outil tiers (Veeam Backup for M365, Acronis, AvePoint, Datto) qui exporte vos boîtes Exchange, OneDrive, SharePoint et Teams vers un stockage immuable externe au tenant Microsoft. C'est la seule garantie de pouvoir restaurer en cas de compromission du tenant lui-même.
Pour une PME de 50 collaborateurs avec 3 To de données utiles (postes, serveurs de fichiers, ERP, M365), le coût total d'une stack 3-2-1-1-0 opérationnelle se décompose ainsi :
| Poste | Coût mensuel HT | Commentaire |
|---|---|---|
| Licences Veeam B&R Essentials + M365 | 180 à 250 € | 50 utilisateurs M365 inclus |
| NAS local 16 To utiles (amortissement 5 ans) | 60 à 90 € | Synology RS / QNAP TS rackable |
| Stockage S3 immuable OVHcloud (3 To) | 30 à 45 € | Object Lock Compliance, région France |
| Supervision et tests mensuels (infogérance) | 120 à 200 € | Inclus dans nos forfaits |
| Total mensuel HT | 390 à 585 € | Soit 8 à 12 € par poste |
À comparer au coût moyen d'un ransomware sur PME (130 000 à 250 000 euros selon Cybermalveillance), le retour sur investissement est immédiat. Une PME qui survit à une attaque grâce à une sauvegarde immuable testée évite le dépôt de bilan dans 60 % des cas, statistique constante depuis trois ans.
Si une attaque survient malgré tout, consultez immédiatement notre guide opérationnel cyberattaque 24h qui détaille les premiers gestes : isolation réseau, dépôt de plainte, notification CNIL sous 72h, mobilisation du CERT-FR.
L'entrée en vigueur effective de la directive NIS2 en 2025 et la transposition française finalisée début 2026 imposent désormais à un large périmètre de PME (au-delà de 50 salariés ou 10 M€ de CA dans les secteurs essentiels et importants) la mise en place de mesures de continuité d'activité incluant explicitement la sauvegarde immuable et les tests de restauration documentés.
Côté RGPD, la CNIL considère depuis 2024 qu'une perte de données par ransomware sans capacité de restauration constitue une violation de l'article 32 (sécurité du traitement) susceptible d'amende. La preuve d'une stratégie 3-2-1-1-0 documentée et testée est devenue un élément d'appréciation déterminant lors des contrôles. Un audit infrastructure indépendant annuel valide le dispositif et constitue un livrable opposable.
La règle 3-2-1-1-0 n'est pas une mode marketing : c'est la réponse technique à la réalité de la cybermenace 2026, où 93 % des ransomwares ciblent activement les sauvegardes. Une PME qui dispose aujourd'hui de sauvegardes immuables testées dispose d'un avantage stratégique décisif : la capacité de redémarrer en 24 à 48 heures sans payer la rançon, sans perdre ses clients, sans déposer le bilan.
La mise en place d'une architecture 3-2-1-1-0 complète demande une expertise pointue (choix du stockage immuable, durcissement des dépôts, séparation des comptes, scripts de test automatisés, supervision continue). Nos équipes d'experts cybersécurité et d'infogérance Infranat déploient cette architecture pour des PME françaises depuis 2018, avec un taux de restauration validé à 100 % sur l'ensemble des sinistres traités. Pour évaluer votre dispositif actuel et obtenir un plan d'action chiffré, demandez un audit gratuit de votre sauvegarde.
L'air-gap repose sur une déconnexion physique du support (bande, disque USB débranché). L'immuabilité est logique : le support reste connecté mais aucune commande ne peut modifier ou supprimer les données pendant la rétention. Les deux sont complémentaires dans une stratégie 3-2-1-1-0 complète.
Minimum 30 jours, idéalement 90 jours. Les ransomwares modernes restent en sommeil dans le SI pendant 30 à 60 jours avant déclenchement. Une rétention courte risque de ne contenir que des sauvegardes déjà infectées au moment de la restauration.
Non. Microsoft applique un modèle de responsabilité partagée : la disponibilité de la plateforme est garantie, mais la sauvegarde de vos données reste votre responsabilité. Un ransomware qui chiffre OneDrive synchronisé chiffre aussi le cloud. Un outil tiers de backup M365 vers stockage immuable est indispensable.
Non pour une protection anti-ransomware. Le mode Governance permet à un compte privilégié de lever le verrou. Si un attaquant compromet ce compte, il supprime les sauvegardes. Seul le mode Compliance offre une garantie absolue d'inaltérabilité pendant la rétention.
Entre 390 et 585 euros HT par mois pour une stack complète 3-2-1-1-0 supervisée (licences, NAS, stockage cloud immuable, infogérance). Soit 8 à 12 euros par poste et par mois, à comparer aux 130 000 à 250 000 euros de coût moyen d'un ransomware réussi.
NIS2 impose des mesures de continuité incluant la sauvegarde, les tests de restauration documentés et la gestion des incidents. L'immuabilité n'est pas nommée explicitement dans le texte, mais elle est de fait le seul moyen crédible de prouver la capacité de restauration face à un ransomware, requis par l'article 21.
Test partiel mensuel (un serveur, une boîte mail, un dossier critique), test complet annuel sur l'ensemble du périmètre avec chronométrage des RTO/RPO. Les assureurs cyber exigent désormais la preuve documentée de ces tests pour activer la garantie en cas de sinistre.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit