Guide expert

Sauvegardes et continuité d'activité

· 5 min de lecture · 890 mots · par Stéphane

Une sauvegarde n'est pas un fichier qu'on copie de temps en temps sur un disque externe. C'est une discipline qui protège votre activité contre 3 catastrophes : la panne matérielle, l'erreur humaine et le ransomware. Voici comment construire une stratégie qui tient la route en 2026.

La règle 3-2-1, version 2026

La règle classique : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Elle reste valide, mais avec des nuances modernes :

  • 3 copies : l'originale + 2 sauvegardes distinctes
  • 2 supports : pas tout sur le même disque dur, ni tout dans le même cloud
  • 1 hors site : géographiquement éloigné (incendie, vol, inondation)
  • +1 immutable (la nouveauté 2026) : au moins une copie qui ne peut être ni modifiée ni supprimée pendant X jours, même par un admin compromis

Que faut-il sauvegarder concrètement ?

L'erreur classique : sauvegarder ce qui est facile à sauvegarder, pas ce qui est critique. Faites l'exercice : si vous perdiez tout ce soir, qu'est-ce qui vous empêcherait de redémarrer demain matin ?

Pour une PME ou ASBL :

  • Base de données du site web (clients, commandes, factures)
  • Fichiers du site (CMS, médias, configurations)
  • Boîtes mails professionnelles
  • Documents bureautiques (devis, factures, contrats, rapports)
  • Comptabilité (fichiers comptables + factures scannées)
  • Code source si vous avez un développement sur mesure

Fréquence : à quelle fréquence sauvegarder ?

La fréquence doit refléter votre RPO (Recovery Point Objective) : combien de données êtes-vous prêt à perdre en cas d'incident ?

  • RPO 24h = sauvegarde quotidienne. OK pour un site vitrine, blog, données peu changeantes.
  • RPO 4h = sauvegarde toutes les 4h. Recommandé pour e-commerce, SaaS, applications métier.
  • RPO 15 min = sauvegarde continue (réplication). Pour des activités critiques (banque, santé).

Notre recommandation Pour 90 % des PME belges : sauvegardes quotidiennes incrémentielles, sauvegardes hebdomadaires complètes, rétention de 30 jours, avec une copie mensuelle archivée 1 an.

Le piège des sauvegardes "automatiques"

Beaucoup d'hébergeurs proposent des "sauvegardes automatiques incluses". Lisez les petites lignes :

  • Sauvegarde stockée sur le même serveur que les données → inutile en cas d'incendie ou compromission
  • Rétention de 7 jours seulement → un ransomware découvert au jour 8 = données définitivement perdues
  • Pas de version "hors site"
  • Pas de tests de restauration documentés

Solution : ajoutez une sauvegarde tierce. Outils recommandés pour PME : BackBlaze B2 (5 €/TB/mois), Backupsheep, ou Restic + S3-compatible (le plus économique pour les techniques).

Le test de restauration — l'étape oubliée

Une sauvegarde non testée n'est pas une sauvegarde : c'est une supposition. La restauration mensuelle est non négociable.

Procédure de test minimale :

  • Restaurer une sauvegarde sur un environnement de test
  • Vérifier que la base est intègre (compter quelques enregistrements)
  • Vérifier que le site fonctionne (chargement de pages clés)
  • Vérifier qu'on peut écrire (créer un faux enregistrement, le supprimer)
  • Documenter la durée totale de restauration (votre RTO)

RTO : combien de temps pour redémarrer ?

Le RTO (Recovery Time Objective) est le temps maximal acceptable pour remettre l'activité en marche après un incident. Pour une PME :

  • Site vitrine offline : 4-8h supportable
  • E-commerce offline : 1-2h supportable (au-delà, vous perdez de l'argent)
  • Application métier : variable selon la criticité

Si votre stratégie de sauvegarde demande 12h pour restaurer 2 TB de données alors que votre RTO est de 4h, vous avez un problème à résoudre avant qu'il ne se manifeste.

Le cas spécifique du ransomware

Les ransomwares modernes attendent dans votre infrastructure 1 à 2 mois avant de chiffrer. S'ils détectent vos sauvegardes, ils les chiffrent aussi. C'est pourquoi vous avez besoin de sauvegardes immutables — des copies qu'aucun admin ne peut supprimer pendant X jours.

Outils qui le permettent :

  • AWS S3 avec Object Lock
  • BackBlaze B2 avec Object Lock
  • Wasabi avec Compliance Mode
  • Solutions on-prem : Veeam Hardened Repository

Documenter le plan de continuité

Le PCA (Plan de Continuité d'Activité) tient en 2 pages pour une PME :

  • Liste des systèmes critiques classés par priorité
  • Localisation des sauvegardes (qui a accès)
  • Procédure de restauration pas-à-pas
  • Contacts d'urgence (hébergeur, prestataire, DSI)
  • Plan de communication (clients, équipe, presse si gros incident)
  • Date du dernier test réussi

Checklist : votre stratégie de sauvegarde est-elle solide ?

  • 3 copies, 2 supports, 1 hors site, +1 immutable
  • RPO et RTO définis explicitement
  • Sauvegardes chiffrées au repos
  • Test de restauration mensuel documenté
  • Rétention adaptée (30j courante + archives mensuelles)
  • Plan de continuité d'activité écrit, partagé, à jour
  • Au moins 2 personnes savent restaurer
  • Le test de restauration le plus récent est de moins de 60 jours

La sauvegarde est l'assurance qu'on regrette de ne pas avoir le jour où on en a besoin. Investir 200 €/an pour des sauvegardes solides économise potentiellement 50 000 € de remise en activité après un sinistre.

Une question sur ce sujet ?

Cette lecture vous a donné envie d'agir mais vous avez une question spécifique à votre contexte ? On en discute 30 minutes, sans engagement.

Me contacter