Une sauvegarde consiste à créer des copies des données afin de pouvoir les restaurer en cas de perte, corruption ou destruction. L'ISO 27002 recommande que ces copies respectent quatre critères :

• Complétude : toutes les données nécessaires à l'activité sont incluses dans le périmètre de sauvegarde
• Régularité : la fréquence de sauvegarde est adaptée au rythme de modification des données
• Accessibilité : les sauvegardes peuvent être restaurées dans des délais définis
• Sécurité : les copies sont protégées contre l'accès non autorisé, la corruption et la destruction

La norme insiste sur trois points : identifier précisément ce qui doit être sauvegardé, définir des objectifs de récupération clairs, et tester régulièrement que les sauvegardes sont restaurables.

Avant de choisir une solution technique, il faut déterminer deux indicateurs qui guideront tous les choix :

RPO (Recovery Point Objective) : la perte de données acceptable

Le RPO définit la quantité maximale de données que l'organisation peut se permettre de perdre. Un RPO de 1 heure signifie qu'on accepte de perdre au maximum 1 heure de données, donc les sauvegardes doivent être réalisées au moins toutes les heures. Un RPO de 24 heures autorise une sauvegarde quotidienne.

RTO (Recovery Time Objective) : le délai de restauration acceptable

Le RTO définit le délai maximal dans lequel les données doivent être restaurées. Un RTO de 2 heures signifie que le processus de restauration ne doit pas dépasser 2 heures. Un RTO de 24 heures laisse une journée pour restaurer. Le RTO détermine la méthode de sauvegarde et l'infrastructure nécessaire (des sauvegardes incrémentielles avec 50 versions prennent plus de temps à restaurer qu'une sauvegarde complète). Ces deux objectifs se définissent en fonction de l'impact métier de la perte ou de l'indisponibilité des données.

Copie l'intégralité des données à chaque exécution. Avantage : restauration simple et rapide (une seule copie à récupérer), idéale pour des RTO courts. Inconvénient : volumineuse, consomme beaucoup d'espace de stockage et de bande passante. À utiliser pour : sauvegarde hebdomadaire de référence, systèmes de petite taille, RTO exigeants.

Sauvegarde incrémentielle

Ne copie que les données modifiées depuis la dernière sauvegarde (complète ou incrémentielle). Avantage : rapide à exécuter, économe en stockage, permet des sauvegardes fréquentes (RPO court). Inconvénient : restauration plus complexe et plus longue (nécessite la sauvegarde complète + toutes les incrémentielles successives), RTO plus long. À utiliser pour : sauvegardes quotidiennes ou horaires entre deux sauvegardes complètes.

Sauvegarde différentielle

Copie toutes les modifications depuis la dernière sauvegarde complète. Avantage : restauration plus simple et rapide que l'incrémentielle (nécessite uniquement la complète + la dernière différentielle), bon compromis sur le RTO. Inconvénient : volume croissant au fil de la semaine. À utiliser pour : compromis entre complète et incrémentielle, RTO intermédiaires.

Le choix de la méthode découle directement des objectifs RPO/RTO définis pour chaque type de données.

Règle 3-2-1 classique

Conservez au moins 3 copies de vos données, sur 2 supports différents, dont 1 copie hors site. Exemple : données de production + copie sur NAS local + copie sur cloud distant. Cette règle protège contre les pannes matérielles (plusieurs supports), les sinistres localisés (copie hors site) et les erreurs de manipulation (plusieurs versions).

Règle 3-2-1-1-0 renforcée

Extension pour se protéger des ransomwares : 3 copies, 2 supports, 1 hors site, 1 copie hors ligne (air-gap physique ou logique), 0 erreur lors des tests de restauration. La copie hors ligne (bande magnétique déconnectée ou sauvegarde immutable dans le cloud) ne peut être chiffrée par un ransomware qui compromettrait le réseau.

Chiffrement

Les sauvegardes contiennent des copies complètes de données sensibles. Leur vol ou leur perte expose l'organisation au même risque qu'une fuite de données de production. Le chiffrement des sauvegardes est obligatoire, qu'elles soient stockées localement ou dans le cloud.

Contrôle d'accès

Limitez l'accès aux sauvegardes aux seuls administrateurs autorisés. Un ransomware moderne tente de supprimer ou chiffrer les sauvegardes avant d'attaquer les données de production. Les droits de suppression doivent être restreints, et les sauvegardes doivent être protégées par des mécanismes empêchant leur modification ou destruction immédiate.

Immutabilité

Les sauvegardes immutables ne peuvent être modifiées ni supprimées pendant une période définie. Les solutions cloud proposent des modes WORM (Write Once Read Many) ou des verrous temporels. Les bandes magnétiques déconnectées après sauvegarde offrent une immutabilité physique. Cette protection est essentielle pour garantir qu'une copie restaurable existera même si le système est compromis.

Pourquoi tester

Une sauvegarde non testée n'est qu'une illusion de sécurité. Les causes d'échec sont multiples : corruption silencieuse, mauvaise configuration, évolution de l'infrastructure rendant la restauration incompatible, ou simplement une procédure mal documentée. Tester permet de valider que les objectifs RTO sont réalistes et atteignables.

Comment tester

Planifiez des tests trimestriels sur des données réelles. Restaurez un échantillon représentatif dans un environnement distinct. Chronométrez le processus pour vérifier que le RTO est respecté. Documentez chaque étape. Vérifiez l'intégrité des données restaurées. Ajustez la stratégie de sauvegarde si les tests révèlent que le RTO ne peut être tenu ou que des données sont corrompues.

• Ne jamais tester les restaurations : une sauvegarde non testée peut s'avérer inutilisable au moment critique. Testez au moins tous les trimestres et vérifiez que le RTO est respecté.
• Définir des RPO/RTO irréalistes : un RPO de 15 minutes avec des sauvegardes quotidiennes est incohérent. La stratégie technique doit correspondre aux objectifs.
• Stocker toutes les copies au même endroit : un incendie, une inondation ou un ransomware détruit alors l'ensemble. La copie hors site est obligatoire.
• Sauvegardes accessibles sans restriction : un attaquant qui compromet le réseau peut détruire les sauvegardes. Limitez les droits de suppression et utilisez l'immutabilité.

Les sauvegardes protègent contre la perte définitive de données en créant des copies régulières et sécurisées. Leur dimensionnement repose sur deux objectifs : le RPO (fréquence de sauvegarde) et le RTO (délai de restauration acceptable). Ces objectifs déterminent la méthode technique à adopter. La mise en œuvre efficace repose sur la règle 3-2-1 (trois copies, deux supports, une hors site), la protection par chiffrement et immutabilité, et des tests réguliers de restauration qui valident que les objectifs RTO sont tenables.