Sauvegardes · 8 min

Sauvegarde et ransomware en PME : la règle 3-2-1 et le plan de réponse

Se protéger du ransomware en PME : règle de sauvegarde 3-2-1, copies immuables ou hors ligne, pourquoi les sauvegardes non testées échouent, RPO/RTO et procédure de réponse.

Réponse courte

En bref

Se protéger du ransomware en PME : règle de sauvegarde 3-2-1, copies immuables ou hors ligne, pourquoi les sauvegardes non testées échouent, RPO/RTO et procédure de réponse.

Le ransomware ne vise plus seulement les grandes entreprises. Les PME sont devenues des cibles privilégiées, précisément parce qu’elles sont souvent moins bien protégées et qu’une interruption d’activité y devient vite critique. Une attaque chiffre vos fichiers et exige une rançon pour les rendre lisibles.

Face à cela, la sauvegarde est votre meilleure police d’assurance, à une condition : qu’elle fonctionne réellement le jour où tout est bloqué. Or de trop nombreuses PME découvrent au pire moment que leur sauvegarde était incomplète, chiffrée elle aussi, ou impossible à restaurer.

Cet article explique la réalité du ransomware pour une PME, la règle de sauvegarde 3-2-1, pourquoi les sauvegardes non testées échouent, et comment préparer une procédure de réponse tenant sur une page.

La réalité du ransomware pour une PME

Une attaque par ransomware ne se limite pas au chiffrement des fichiers. Les attaquants exfiltrent souvent les données avant de les chiffrer, puis menacent de les publier : payer la rançon ne garantit alors ni la récupération, ni la confidentialité.

Pour une PME, le coût réel est rarement la rançon elle-même : c’est l’arrêt de l’activité, les jours de production perdus, la reconstruction du système d’information et l’atteinte à la confiance des clients. La prévention et une bonne sauvegarde reviennent toujours moins cher que la crise.

La règle 3-2-1, simplement

La règle 3-2-1 est le socle d’une sauvegarde fiable. Elle se retient facilement et couvre l’essentiel des scénarios de perte de données.

Le point le plus important pour résister au ransomware est la copie hors ligne ou immuable : une sauvegarde qu’un attaquant ayant pris le contrôle de votre réseau ne peut ni chiffrer ni supprimer.

  • 3 copies de vos données : l’original et deux sauvegardes.
  • 2 supports différents pour éviter une défaillance commune.
  • 1 copie hors site, à l’abri d’un sinistre local (incendie, vol, inondation).
  • En complément, au moins une copie immuable ou hors ligne, inaccessible à un attaquant.

Pourquoi les sauvegardes non testées échouent

Une sauvegarde qui n’a jamais été restaurée n’est qu’une promesse. En pratique, beaucoup d’entreprises découvrent lors d’une crise que la sauvegarde était partielle, corrompue, obsolète, ou que la restauration prend plusieurs jours qu’elles n’ont pas.

Seul un test de restauration réel, réalisé régulièrement, prouve que votre sauvegarde tiendra ses promesses. C’est la différence entre croire qu’on est protégé et l’être vraiment.

  • Tester périodiquement la restauration de fichiers et, idéalement, d’un système complet.
  • Vérifier que le périmètre couvre bien tout ce qui est critique, y compris Microsoft 365.
  • S’assurer que la copie immuable ou hors ligne est elle aussi testée.
  • Mesurer le temps réel de restauration, souvent plus long qu’imaginé.

RPO et RTO : deux repères à définir

Deux notions simples permettent de dimensionner votre stratégie. Le RPO (objectif de point de reprise) répond à la question : quelle quantité de données pouvez-vous vous permettre de perdre ? Le RTO (objectif de temps de reprise) répond à : en combien de temps devez-vous être de nouveau opérationnel ?

Ces deux repères, décidés par la direction, guident tout le reste : fréquence des sauvegardes, technologies retenues, budget. Une PME dont l’activité s’arrête sans son informatique aura un RTO court et devra investir en conséquence.

  • RPO : perte de données tolérable, qui détermine la fréquence des sauvegardes.
  • RTO : durée d’indisponibilité acceptable, qui détermine la rapidité de restauration.
  • Aligner ces objectifs sur l’impact métier réel, pas sur des standards théoriques.

Une procédure de réponse en une page

Le jour d’une attaque, personne n’a le temps d’improviser. Une procédure d’une page, connue et accessible même si le réseau est bloqué, fait gagner des heures précieuses et évite les erreurs sous pression.

Cette procédure définit qui décide, qui exécute et dans quel ordre agir. La préparer à froid, dans le calme, est l’un des investissements les plus rentables en sécurité.

  • Isoler : déconnecter les machines touchées du réseau pour stopper la propagation.
  • Alerter : prévenir la direction, le responsable informatique et le prestataire de sécurité.
  • Évaluer : identifier ce qui est chiffré et les sauvegardes saines disponibles.
  • Ne pas payer dans la précipitation ; consulter les autorités et un spécialiste.
  • Restaurer depuis une sauvegarde saine après s’être assuré que la menace est écartée.
  • Documenter l’incident et corriger la faille d’origine pour éviter la récidive.