72 % des entreprises victimes d'un ransomware en 2025 avaient bien des sauvegardes. Seulement, elles n'ont pas pu les restaurer : sauvegardes corrompues par l'attaquant, médias trop anciens, procédure jamais testée. Pendant ce temps, la durée moyenne d'interruption d'activité après une cyberattaque non maîtrisée atteint 21 jours. Une PME qui tourne à 400 k€ de CA mensuel perd ainsi 280 000 € en chiffre d'affaires, sans compter les dégâts de confiance. La bonne nouvelle : une stratégie sauvegarde + PRA robuste coûte moins de 2 % du budget IT d'une PME. Encore faut-il la construire correctement — et tester.
Pourquoi la règle 3-2-1 ne suffit plus en 2026
La règle classique 3-2-1
La règle historique, popularisée par l'ANSSI et la plupart des hébergeurs, tient en trois chiffres : 3 copies des données, sur 2 supports différents, dont 1 hors site. Cette doctrine reste le socle en 2026 et suffit à absorber la plupart des incidents classiques (panne disque, suppression humaine, sinistre local).
L'évolution 3-2-1-1-0
Avec la montée des ransomwares qui ciblent spécifiquement les infrastructures de sauvegarde, les spécialistes (Veeam, Oxibox, ANSSI) recommandent désormais la règle 3-2-1-1-0 : aux 3-2-1 originaux s'ajoutent 1 copie isolée ou immuable (objet WORM, air gap ou stockage verrouillé) et 0 défaut vérifié (tests de restauration documentés).
Pour une PME, cette évolution a deux conséquences concrètes : le cloud public seul ne suffit plus (il peut être chiffré par l'attaquant), et une sauvegarde qu'on ne restaure jamais ne compte pas. Voir le décryptage Clubic pour une vulgarisation accessible aux non-initiés.
Les 4 scénarios à couvrir
Une politique de sauvegarde crédible protège contre quatre classes d'incident — et doit être conçue pour chacune, pas seulement pour la plus probable.
Panne matérielle — disque, serveur ou SAN qui lâche. Couvert par une sauvegarde sur support secondaire avec RPO < 24 h.
Suppression humaine — un collaborateur efface un dossier critique, une migration mal menée écrase des données. Couvert par des sauvegardes avec rétention granulaire (30 à 90 jours minimum).
Ransomware ou compromission — l'attaquant chiffre les données ET les sauvegardes accessibles. Couvert uniquement par une copie immuable ou air-gap.
Sinistre majeur — incendie, inondation, vol de matériel. Couvert par la copie hors site (cloud ou datacenter distant).
Les PME qui se concentrent uniquement sur le scénario 1 (panne matérielle) se retrouvent démunies face au 3 (ransomware). C'est l'erreur la plus fréquente, et elle coûte en moyenne 21 jours d'interruption.
Architectures types par taille de PME
PME 10-50 salariés
Un NAS local (Synology, QNAP) pour les sauvegardes quotidiennes, doublé d'un cloud chiffré (Backblaze B2, OVHcloud Object Storage, Wasabi) pour l'externalisation. Activation de l'immuabilité (Object Lock) sur la cible cloud. Budget typique : 1 000 à 5 000 €/an tout compris (matériel amorti + stockage cloud + licences Veeam Community ou Duplicati). Restauration sur un PC de secours possible en 24 à 48 h.
PME 50-200 salariés
Ajout d'une cible cloud souverain (OVHcloud, Scaleway ou cloud SecNumCloud type NumSpot) et d'un stockage immuable pour les données sensibles. Sauvegardes incrémentales horaires pour la production, rétention 12 mois, chiffrement côté client. Budget : 5 000 à 15 000 €/an. Un PRA dédié avec site de repli (machines virtuelles cloud à la demande) entre dans cette fourchette haute.
PME 200+ salariés
Architecture multi-sites avec PRA activé par bascule automatique (site chaud ou tiède selon RTO visé), tests de bascule trimestriels, copies air-gap sur bandes LTO pour les archives longues. Budget : 15 000 à 60 000 €/an, souvent porté par une équipe IT interne appuyée par un prestataire spécialisé pour les runbooks et les tests.
Le PRA : au-delà de la sauvegarde
Un Plan de Reprise d'Activité (PRA) répond à deux questions : combien de temps pour redémarrer ? (RTO — Recovery Time Objective) et combien de données on accepte de perdre ? (RPO — Recovery Point Objective). Ces deux paramètres guident toute la conception.
Pour une PME typique :
RTO 24 à 72 h et RPO 24 h conviennent à la plupart des métiers (conseil, industrie, commerce). Budget modéré, complexité raisonnable.
RTO 1 à 4 h et RPO 1 h sont justifiés pour du e-commerce ou une plateforme B2B temps réel. Coût × 3 à × 5 par rapport au cas standard.
RTO < 15 min relève de la haute disponibilité active/active — rarement pertinent en PME, sauf secteur financier ou santé.
Un PRA testé trimestriellement (avec bascule réelle, pas simulation sur papier) peut coûter moins de 3 000 € par an de supplément si l'architecture de sauvegarde est déjà en place. Sans test, le PRA n'existe pas — c'est un document.
Les 3 erreurs qui rendent vos sauvegardes inutiles
Erreur 1 : sauvegarder sur le même réseau que la production. Si l'attaquant prend le domaine Active Directory, il prend aussi le NAS de sauvegarde. L'immuabilité (Object Lock S3) ou l'air gap physique sont les seules vraies protections contre le ransomware ciblé.
Erreur 2 : ne jamais restaurer. Une sauvegarde jamais restaurée est un placebo. Planifier un exercice mensuel (restauration d'un fichier, d'une VM, d'une base de données) et une bascule complète trimestrielle est le minimum — l'ANSSI le confirme dans ses guides PRA PME.
Erreur 3 : négliger la documentation des procédures. Le jour où il faut restaurer, le responsable IT peut être en congés, en arrêt, ou avoir quitté l'entreprise. Des runbooks écrits, testés, accessibles hors système normal (clé USB coffre, copie papier) transforment une crise en incident gérable.
L'approche Eden Solutions
Nous concevons la sauvegarde et le PRA comme un système vivant, pas comme un projet ponctuel. Trois livrables chez chaque client PME :
Architecture 3-2-1-1-0 chiffrée côté client, adaptée à la taille et aux contraintes métier, avec immuabilité sur les cibles cloud.
Runbooks de restauration testés trimestriellement, avec rôles et délais documentés. Accessibles hors système normal.
Tableau de bord de conformité mensuel : taux de succès des jobs, âge des dernières restaurations testées, alertes non résolues.
Découvrez comment nous intégrons sauvegardes et PRA dans nos prestations infrastructure et cybersécurité.
FAQ : sauvegardes et PRA pour PME
Le cloud public suffit-il comme sauvegarde ?
Seulement si l'immuabilité est activée (Object Lock S3 ou équivalent) et que les accès sont strictement séparés de la production. Un bucket S3 standard accessible avec les mêmes identifiants que votre infra peut être chiffré par l'attaquant comme le reste.
À quelle fréquence faut-il tester les restaurations ?
Au minimum : un test de restauration fichier mensuel, un test de restauration VM ou base de données trimestriel, et un test de bascule PRA complet annuel. Au-dessous, vous avez un dispositif sur le papier, pas dans la réalité.
Combien garder d'historique ?
En règle PME : 30 jours de sauvegardes quotidiennes, 12 mois de sauvegardes mensuelles, 5 à 10 ans de sauvegardes annuelles selon les obligations réglementaires (RGPD, comptabilité, contrats). Le bon compromis coût/couverture pour la plupart des métiers.
Les sauvegardes couvrent-elles NIS 2 ?
Partiellement. NIS 2 exige une continuité d'activité documentée et testée (mesure 4 de l'article 21). Une architecture 3-2-1-1-0 avec runbooks et tests trimestriels y répond. Attention toutefois : la sauvegarde n'exonère ni de la supervision, ni de la détection, ni de la formation — NIS 2 demande un dispositif global.
En résumé
En 2026, une PME française doit supposer qu'elle sera ciblée par un ransomware — pas se demander si, mais quand. L'architecture 3-2-1-1-0, avec une copie immuable et des tests trimestriels, permet de passer d'une crise de 21 jours à un incident de 24 à 72 heures. Coût : moins de 2 % du budget IT. Pas de négociation possible sur ce point. Parlons de votre dispositif actuel : une revue rapide en 45 minutes suffit à identifier les deux ou trois angles morts qui rendraient une restauration impossible chez vous.
