SOC managé - surveillance continue  ·  veille cyber : CERT-FR / CISA / NVD  ·  réponse à incident en priorité
Toutes les actualités

Résilience · Guide

Sauvegardes 3-2-1 : la meilleure assurance contre le rançongiciel.

Le rançongiciel reste l'une des menaces les plus coûteuses pour les organisations, et il vise en priorité une chose : vos données. Chiffrement des fichiers, suppression des sauvegardes accessibles, puis demande de rançon. Face à ce scénario, la meilleure assurance n'est ni un antivirus ni une cyberassurance : c'est une sauvegarde saine, isolée et testée. La règle qui la résume tient en trois chiffres : 3-2-1.

La règle 3-2-1, en clair

Recommandée de longue date, notamment par l'ANSSI et Cybermalveillance.gouv.fr, elle se lit ainsi :

  • 3 copies de vos données : l'originale plus deux sauvegardes.
  • 2 supports différents : par exemple un stockage réseau et un support externe, pour ne pas dépendre d'une seule technologie.
  • 1 copie hors site et hors ligne : physiquement déconnectée du réseau, hors de portée d'un attaquant qui a pris la main sur votre système d'information.

Le point vital est le dernier. Un rançongiciel qui compromet un compte à privilèges cherche activement à chiffrer ou effacer les sauvegardes connectées. Seule une copie déconnectée (ou immuable) survit à coup sûr.

Sources : ANSSI / CERT-FR et Cybermalveillance.gouv.fr - voir les liens en bas d'article.

Pourquoi tant d'organisations restaurent mal

Avoir des sauvegardes ne suffit pas. Les échecs les plus fréquents au moment critique :

  • La sauvegarde était en ligne. Elle a été chiffrée en même temps que le reste.
  • La restauration n'a jamais été testée. Le jour J, le fichier est corrompu, incomplet ou trop lent à remonter.
  • Le périmètre est incomplet. Une base de données, une configuration ou un système clé n'était pas sauvegardé.
  • Les délais ne correspondent pas au métier. Restaurer prend trois jours quand l'activité en tolère un.
Une sauvegarde non testée n'est pas une sauvegarde

C'est une hypothèse. Tant que vous n'avez pas restauré pour de vrai, dans un environnement isolé, et vérifié que les données sont exploitables, vous ne savez pas si votre filet de sécurité existe. Le test de restauration se planifie, idéalement chaque trimestre.

Relier la sauvegarde au métier : RPO et RTO

Deux indicateurs simples cadrent le dispositif :

  • RPO (Recovery Point Objective) : quelle quantité de données pouvez-vous vous permettre de perdre ? Il détermine la fréquence des sauvegardes.
  • RTO (Recovery Time Objective) : en combien de temps devez-vous être de nouveau opérationnel ? Il détermine le mode de restauration.

Ces objectifs ne se fixent pas dans l'absolu, mais service par service. Une passerelle de paiement et un partage d'archives n'ont ni la même valeur ni la même urgence. Prioriser, c'est concentrer l'effort là où l'interruption coûte le plus cher.

Cinq réflexes qui changent tout

  • Isoler au moins une copie du réseau (support déconnecté ou stockage immuable en écriture unique).
  • Tester les restaurations régulièrement, et mesurer le temps réel de remise en service.
  • Couvrir tout le périmètre critique : postes, serveurs, bases de données, configurations, environnements cloud.
  • Protéger les sauvegardes elles-mêmes : comptes dédiés, authentification forte, journalisation des accès.
  • Documenter la procédure de restauration pour qu'elle soit exécutable sous pression, par plusieurs personnes.

En résumé

Contre le rançongiciel, la sauvegarde 3-2-1 n'est pas une formalité technique : c'est ce qui décide si une attaque devient une crise de quelques heures ou une paralysie de plusieurs semaines. Trois copies, deux supports, une hors ligne, et surtout des restaurations testées. C'est simple à énoncer, exigeant à tenir dans la durée - et c'est exactement le genre de dispositif que nous aidons nos clients à mettre en place et à éprouver.

Vos sauvegardes résisteraient-elles à un rançongiciel ?

Kenawek évalue votre stratégie de sauvegarde, teste vos restaurations et vous aide à bâtir un plan de reprise réaliste. Parlons-en.

Sources