Quelle est la règle du 3-2-1 en sauvegarde informatique ?

La règle du 3-2-1 consiste à conserver 3 copies de vos données, sur 2 supports différents, dont 1 stockée hors site. C'est le standard recommandé par l'ANSSI et le CERT-FR pour résister aux ransomwares, aux incendies et aux pannes matérielles.

À quelle fréquence faut-il sauvegarder les données d'une entreprise ?

La fréquence dépend du RPO (Recovery Point Objective) toléré. Pour la plupart des PME, une sauvegarde quotidienne des fichiers critiques et horaire des bases de données transactionnelles est recommandée. Les données non critiques peuvent être sauvegardées de manière hebdomadaire.

Comment se protéger des ransomwares avec la sauvegarde ?

La protection contre les ransomwares repose sur 3 piliers : sauvegardes immutables (non modifiables après écriture), isolation réseau d'une copie (air-gap), et tests de restauration réguliers. Sans ces éléments, 70% des sauvegardes sont chiffrées en même temps que les données lors d'une attaque.

Sauvegarde informatique entreprise : guide 3-2-1 et solutions PME 2026

Q: Combien coûte une solution de sauvegarde pour une PME ?

Pour une PME de 20 à 100 postes, une solution de sauvegarde complète coûte entre 150 et 800 euros par mois tout inclus (logiciel, stockage cloud, support). Un NAS local se facture 1 500 à 6 000 euros à l'achat. Le diagnostic IA d'ALTEZIA permet d'identifier la solution la plus adaptée à votre infrastructure.

60 %

des PME ferment dans les 6 mois après une perte majeure de données

73 %

des ransomwares chiffrent également les sauvegardes mal isolées

1 sur 3

des sauvegardes testées échouent lors d'une restauration réelle

7 h

temps d'arrêt moyen après un incident, si la sauvegarde fonctionne

Pourquoi la sauvegarde est devenue critique en 2026

La sauvegarde informatique n'est plus un sujet cantonné aux équipes IT. En 2026, c'est un sujet de direction générale, au croisement de trois pressions simultanées : la hausse des attaques par ransomware (+38 % sur un an en France selon l'ANSSI), le durcissement réglementaire avec la directive NIS2, et l'explosion des volumes de données — triplés en cinq ans pour une PME française moyenne.

Une sauvegarde, c'est beaucoup plus qu'une copie de fichiers. C'est la dernière ligne de défense quand tout le reste a échoué : l'antivirus a manqué la menace, le pare-feu n'a pas vu l'intrusion, un salarié a cliqué sur un lien de phishing. Sans sauvegarde fonctionnelle, la facture moyenne d'un incident ransomware dépasse 250 000 euros pour une PME française, sans compter les 6 à 12 semaines de productivité perdue.

Sauvegarder, ce n'est pas la même chose que synchroniser. Un dossier Dropbox, OneDrive ou Google Drive n'est pas une sauvegarde : il reflète l'état actuel des fichiers. Si un ransomware chiffre vos documents, la version chiffrée est immédiatement synchronisée sur le cloud. Une vraie sauvegarde conserve des versions antérieures dans un stockage distinct et protégé.

La règle du 3-2-1 : le standard international

La règle du 3-2-1, popularisée par Peter Krogh et reprise par l'ANSSI et le CERT-FR, constitue le socle de toute stratégie de sauvegarde professionnelle. Elle tient en trois chiffres :

3 copies — l'original + 2 sauvegardes. Une seule sauvegarde ne suffit jamais, car elle peut échouer au moment critique.
2 supports différents — pour se prémunir des défaillances matérielles corrélées (ex. deux disques du même lot qui lâchent simultanément).
1 copie hors site — pour résister aux sinistres physiques (incendie, dégât des eaux, vol) qui détruisent l'ensemble du local.

En 2026, de nombreux experts recommandent d'aller plus loin avec la règle du 3-2-1-1-0 : s'ajoute 1 copie hors-ligne (air-gap), indispensable contre les ransomwares, et 0 erreur constatée lors des tests de restauration. C'est cette dernière version qui est demandée pour les audits de conformité NIS2.

Les types de sauvegarde : complète, incrémentale, différentielle

Type	Principe	Durée	Espace disque	Restauration
Complète (full)	Copie intégrale de toutes les données	Longue	Maximal	Rapide (1 fichier à restaurer)
Incrémentale	Copie uniquement les fichiers modifiés depuis la dernière sauvegarde (quelle qu'elle soit)	Courte	Minimal	Lente (chaîne complète à remonter)
Différentielle	Copie les fichiers modifiés depuis la dernière sauvegarde complète	Moyenne	Moyen	Moyenne (full + dernier différentiel)
Synthétique	Reconstitution périodique d'une image complète à partir des incrémentales	Courte côté serveur	Optimisé	Rapide (image à jour permanente)

Pour une PME, le schéma le plus répandu combine une sauvegarde complète hebdomadaire (généralement le week-end) avec des sauvegardes incrémentales quotidiennes en semaine. Cette organisation limite la fenêtre d'exposition à 24 heures tout en maîtrisant les temps de traitement et l'espace de stockage.

Où stocker ses sauvegardes : local, cloud, hybride

Stockage local (NAS, SAN, bandes LTO)

Un NAS (Network Attached Storage) reste la brique de base dans la majorité des PME. Les modèles professionnels (Synology, QNAP, TrueNAS) offrent gestion des snapshots, réplication, chiffrement et déduplication. Coût : 1 500 à 6 000 euros à l'achat, durée de vie 5 à 7 ans. Avantage : restauration très rapide. Inconvénient : vulnérable en cas de sinistre local ou d'attaque latérale.

Sauvegarde cloud (SaaS)

Des solutions comme Veeam Cloud Connect, Acronis Cyber Protect, Datto ou les offres "backup as a service" des hébergeurs français (OVHcloud, Outscale, Scaleway) proposent un stockage distant géré. Tarif typique : 0,02 à 0,08 €/Go/mois. Avantage : externalisation totale, hors site par construction, chiffrement en transit et au repos. Inconvénient : dépendance à la bande passante et au fournisseur.

Sauvegarde hybride

La combinaison gagnante pour 80 % des PME françaises : un NAS local pour des restaurations éclair + une réplication cloud pour l'externalisation et la résilience. C'est la configuration recommandée par défaut par la majorité des prestataires en infogérance. Les données critiques font l'aller-retour en continu ; les données froides sont archivées sur un stockage objet économique (S3 Glacier, Scaleway C14).

Le piège des data centers étrangers. Si vos sauvegardes sont hébergées hors UE, elles peuvent tomber sous le Cloud Act américain. Pour des données sensibles (RH, santé, finance), privilégiez un hébergeur certifié SecNumCloud ou HDS, ou référez-vous à notre guide RGPD et hébergement des données en France.

Construire un plan de sauvegarde en 6 étapes

1. Cartographier les données

Impossible de sauvegarder ce qu'on n'a pas identifié. Recensez toutes les sources : serveurs de fichiers, bases de données, messagerie (Microsoft 365, Google Workspace), applications métier (ERP, CRM, comptabilité), postes critiques, VM, conteneurs. Classez chaque source par criticité (vitale, importante, secondaire) et par sensibilité (personnelle, confidentielle, publique).

2. Définir RPO et RTO

Deux indicateurs à fixer pour chaque catégorie de données :

RPO (Recovery Point Objective) — quantité maximale de données que vous acceptez de perdre. Si votre RPO est de 1 heure, vous devez sauvegarder au minimum chaque heure.
RTO (Recovery Time Objective) — temps maximal toléré pour remettre un système en ligne. Un RTO de 4 heures impose un dispositif de restauration rapide.

Ces deux valeurs sont le cœur de votre plan de reprise d'activité (PRA/PCA). Elles conditionnent le choix des technologies et le budget.

3. Choisir les technologies adaptées

À RPO et RTO fixés, les options techniques se déduisent. RPO faible et RTO court appellent de la réplication temps réel (RAID, DRBD, snapshots ZFS, hyperconvergence). Un RPO de 24 heures permet une sauvegarde quotidienne classique, moins coûteuse.

4. Mettre en place l'immuabilité et l'air-gap

Les ransomwares modernes cherchent activement à détruire les sauvegardes avant de déclencher le chiffrement. Deux garde-fous indispensables :

Sauvegardes immutables — verrouillées en écriture pendant une durée définie (WORM, Object Lock S3). Impossible de les supprimer ou chiffrer, même avec les droits admin.
Air-gap — une copie physiquement déconnectée du réseau (bande LTO stockée en coffre, disque externe rotatif, vault cloud indépendant).

5. Chiffrer les sauvegardes

Les sauvegardes sont une cible de choix pour l'exfiltration. Le chiffrement au repos (AES-256) est devenu standard. Pour les données personnelles et de santé, c'est une obligation RGPD. Les clés de chiffrement doivent être conservées séparément (coffre-fort cloud, HSM).

6. Tester, tester, tester

Une sauvegarde non testée n'est pas une sauvegarde. Les statistiques sont sans appel : une restauration sur trois échoue la première fois (corruption, incompatibilité de version, mot de passe perdu). Un test de restauration complet doit être réalisé tous les trimestres au minimum, et documenté. La CNIL et l'ANSSI peuvent demander ces PV lors d'un contrôle.

Les 7 erreurs les plus fréquentes

Confondre synchronisation et sauvegarde — OneDrive et Google Drive sont des outils de collaboration, pas des solutions de sauvegarde. Ils ne protègent pas contre la suppression, le chiffrement ou la corruption.
Ne pas sauvegarder Microsoft 365 ou Google Workspace — contrairement à une idée reçue, Microsoft et Google ne sauvegardent pas vos données longtemps. Leurs SLA prévoient 30 à 93 jours maximum. Au-delà, la récupération est perdue. Une solution tierce (Veeam, AvePoint, Datto) est nécessaire.
Laisser les sauvegardes accessibles depuis le réseau principal — une sauvegarde visible depuis Windows avec un compte admin sera chiffrée lors d'un ransomware. L'isolation réseau est obligatoire.
Ne jamais tester — 58 % des entreprises ne testent jamais leurs sauvegardes. Lors d'un incident réel, elles découvrent trop tard que la chaîne est rompue.
Ne pas couvrir les postes de travail — 35 % des données métier se trouvent sur des ordinateurs portables, hors du serveur central.
Oublier les bases de données et les applications SaaS — une copie de fichiers ne suffit pas pour restaurer une base SQL cohérente. Il faut des dumps applicatifs planifiés.
Conserver un seul jeu de sauvegardes récent — une infection par ransomware latente peut rester dormante 30 à 60 jours. Garder une rétention longue (6 à 12 mois) permet de revenir avant la contamination.

Combien coûte une solution de sauvegarde pour une PME ?

Profil d'entreprise	Volume typique	Solution recommandée	Coût mensuel indicatif
TPE < 20 postes	200 Go - 1 To	Cloud backup SaaS	50 - 150 €
PME 20-100 postes	1 - 10 To	NAS + réplication cloud	200 - 600 €
PME 100-250 postes	10 - 50 To	Solution hybride avec air-gap	600 - 1 500 €
ETI 250+ postes	50+ To	Plateforme dédiée (Veeam, Commvault)	1 500 € et plus

Ces montants incluent le logiciel, le stockage et un support de base. S'ajoutent généralement 1 à 3 jours/an de supervision par un prestataire pour le paramétrage fin, les tests de restauration et la gestion des incidents. Pour comparer les offres de prestataires IT qualifiés, le diagnostic ALTEZIA identifie en 30 secondes les partenaires spécialisés en sauvegarde et continuité d'activité.

Obligations réglementaires à connaître

Trois textes encadrent directement la sauvegarde en entreprise :

RGPD (2018) — article 32 impose des mesures techniques et organisationnelles garantissant la disponibilité et la restauration des données personnelles. Les tests réguliers sont attendus.
Directive NIS2 (2026) — impose aux entités essentielles et importantes la mise en place de plans de sauvegarde et continuité, avec tests documentés. Sanctions jusqu'à 10 M€ ou 2 % du chiffre d'affaires.
DORA (2025) — pour le secteur financier et ses sous-traitants IT, exige des tests de résilience opérationnelle incluant des scénarios de restauration.

Au-delà des textes, les assureurs cyber conditionnent désormais leur couverture à la mise en œuvre effective de sauvegardes 3-2-1 avec immutabilité. Une cyber-assurance peut être refusée ou fortement majorée sans ces garanties.

Trouvez le bon partenaire sauvegarde pour votre PME

Comparez les prestataires certifiés en 48h. 15 jours d'essai gratuits sur la plateforme.

Testez gratuitement