Pour externaliser vos sauvegardes en 2026, trois modèles existent: infrastructure dédiée on-premise, datacenter souverain français mutualisé,
et cloud pur. Pour les ETI soumises à NIS2 ou DORA, seules les deux premières options répondent à l'exigence d'isolation physique imposée par les deux réglementations. Le cloud pur, en tant que seule copie externalisée, n'est pas conforme.
72 % des victimes de ransomware avaient des sauvegardes au moment de l'attaque. Elles ne pouvaient pas les restaurer. Le modèle d'infrastructure choisi pour externaliser vos sauvegardes détermine directement si cette restauration est possible, rapide, et auditable.
Les DSI et RSSI d'ETI qui comparent leurs options se heurtent souvent au même obstacle: des offres qui utilisent les mots "souverain" et "sécurisé" sans préciser ce que cela signifie techniquement ni réglementairement. Ce guide compare les trois modèles sur les critères qui comptent: conformité NIS2 et DORA, RTO réel, souveraineté des données, compatibilité OT. Vous y trouverez aussi les cinq critères concrets pour sélectionner votre prestataire.
Points clés :
L'externalisation des sauvegardes consiste à confier tout ou partie de votre stratégie de sauvegarde à un prestataire tiers. Derrière ce terme générique coexistent trois architectures très différentes.
Le backup cloud pur utilise des infrastructures mutualisées d'hyperscalers (AWS, Azure, Google Cloud) ou de prestataires cloud européens (OVHcloud, Scaleway, Outscale). Les données transitent via internet et sont stockées dans des datacenters partagés avec d'autres clients.
Ce que cette option offre:
Ses limites réglementaires:
l'isolation physique est impossible par définition. Les sauvegardes restent accessibles depuis le réseau, ce qui contredit l'exigence d'isolation des articles 21 (NIS2) et 12 (DORA). La localisation des données peut varier selon le fournisseur et les niveaux de service contractualisés.
Les sauvegardes sont hébergées dans un datacenter français certifié (Tier 3 ou Tier 4), opéré par un prestataire souverain. L'infrastructure est mutualisée entre plusieurs clients, mais les données de chaque client sont logiquement séparées.
Ce que cette option offre:
Ses limites:
l'isolation reste logique et non physique. En cas de sinistre majeur ou d'attaque ciblant plusieurs clients sur la même infrastructure, les risques de propagation existent. Le RTO dépend aussi de la bande passante disponible et de la charge du datacenter au moment exact de la restauration.
Un serveur de sauvegarde dédié est installé directement dans les locaux de l'entreprise. Le hardware appartient au prestataire (modèle abonnement zéro CAPEX) ou au client. La variante air-gap déconnecte physiquement ce serveur de tout réseau, rendant les sauvegardes inaccessibles depuis l'extérieur.
Ce que cette option offre:
Sa contrainte:
nécessite un prestataire compétent pour la configuration, la maintenance et les tests réguliers. En modèle managé, ces opérations sont incluses dans l'abonnement, sans mobiliser l'équipe interne.
Pour aller plus loin sur les mécanismes d'isolation physique, consultez notre guide sur la sauvegarde sécurisée et l'isolation physique
NIS2 (article 21) impose des mesures de sécurité incluant la sauvegarde hors ligne ou avec accès restreint. L'ANSSI et l'ENISA précisent dans leurs guides techniques que cette isolation doit être physique ou au minimum réseau: un VLAN dédié non routable depuis la production. Un backup cloud public est accessible depuis internet par construction: il ne répond pas à cette exigence.
DORA (article 12, applicable depuis janvier 2025) est encore plus explicite pour les entités financières. Il impose des politiques de sauvegarde incluant des copies "hors ligne ou dans des environnements logiquement séparés qui ne peuvent pas être compromis via le réseau de production". Un bucket S3 ou un stockage Azure partagé ne constitue pas un environnement "hors ligne".
Le ReCyF ANSSI (publié en mars 2026, 20 objectifs) parle de "cloisonnement" des sauvegardes dans un réseau distinct de la production. Un cloud public ne remplit pas non plus cette condition.
Une ETI qui s'appuie sur Azure Backup ou Amazon S3 comme seule copie externalisée n'est pas conforme NIS2. Elle peut le rester si elle combine ce cloud avec une copie on-premise isolée, selon la règle 3-2-1-1-0
La règle 3-2-1-1-0, recommandée par l'ANSSI et l'ENISA, exige:
Le "1 copie hors ligne" est précisément ce que le cloud seul ne peut pas fournir. Pour un tour d'horizon complet des obligations NIS2 sur la sauvegarde, consultez notre article sur les obligations techniques NIS2 pour le backup.
Vous n'êtes pas certain que votre stratégie actuelle satisfait NIS2 ? Planifiez un diagnostic de conformité de 30 minutes, gratuit, sans engagement.
Ces deux options sont toutes deux conformes NIS2 et DORA, mais elles n'offrent pas les mêmes performances ni le même niveau de contrôle.
Un datacenter souverain, même Tier 4, dépend de la bande passante disponible au moment de la restauration. Pour restaurer 5 To de données critiques via une liaison 1 Gbit/s saturée, le temps de transfert seul dépasse 11 heures. Dans un scénario de ransomware, l'accès internet peut être coupé, ralenti ou compromis.
Une infrastructure dédiée on-premise restaure localement. Pour une VM Windows de 500 Go, le RTO (Recovery Time Objective) est inférieur à 6 minutes avec une restauration Instant Restore depuis le backup local. Pour Linux: moins d'une minute. Ces chiffres sont mesurables, reproductibles et exportables pour vos auditeurs NIS2 ou DORA.
Scénario réel:
Une ETI de 180 personnes dans la plasturgie a subi une attaque ransomware un vendredi à 22 heures. Elle disposait d'un backup dans un datacenter souverain à 200 km. Le samedi matin, après avoir identifié l'attaque, son équipe IT a tenté de déclencher la restauration. La liaison réseau, partiellement compromise par l'attaque, était instable.
La restauration de l'ERP a pris 16 heures. Le lundi matin, les trois lignes de production n'étaient toujours pas opérationnelles. Coût total de l'incident: 360 000 euros. Avec une infrastructure dédiée on-premise isolée, la restauration aurait été locale, indépendante de l'état du réseau, exécutable en moins de 2 heures.
Pour les environnements OT:
L'avantage de l'on-premise est encore plus marqué. Les automates, SCADA et équipements industriels legacy nécessitent des agents spécifiques et une connexion directe en réseau local. Un datacenter distant ne peut pas atteindre ces équipements sans traverser le réseau de production, ce qui crée un vecteur de risque supplémentaire. 93 % des attaques ransomware ciblant le secteur manufacturing visent en priorité les sauvegardes (Sophos 2024): une copie accessible depuis l'extérieur est une cible autant que les serveurs de production.
Pour comprendre les mécanismes d'immuabilité qui protègent les sauvegardes même en cas de compromission d'un compte administrateur, consultez notre guide sur la sauvegarde immuable et le stockage WORM
Les entités industrielles, agroalimentaire, chimie et énergie sont classées NIS2 Annexe I (essentielles) ou Annexe II (importantes). NIS2 impose pour ces secteurs une protection explicite des environnements OT, avec des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
Modèle recommandé:
Infrastructure dédiée on-premise avec option air-gap pour les systèmes les plus critiques. La compatibilité OT native, l'isolation physique et le RTO court (sans dépendance au réseau externe) font de ce modèle la seule option qui couvre l'ensemble du périmètre technique et réglementaire.
Les établissements bancaires, assurances et sociétés de gestion sont soumis à DORA depuis janvier 2025. DORA article 12 exige une stratégie de backup avec copies hors ligne. DORA article 28 impose des clauses de résilience dans les contrats TIC tiers, incluant la localisation des données et les conditions d'audit.
Modèle recommandé:
Infrastructure dédiée ou datacenter souverain Tier 4 français, avec architecture hybride (on-premise et datacenter FR) pour répondre à la règle 3-2-1-1-0 et aux exigences de reporting d'incident en 4 heures.
Les établissements de santé cumulent HDS (hébergement de données de santé) et NIS2 Annexe I. Les données de santé ne peuvent légalement être hébergées que chez des prestataires certifiés HDS.
Modèle recommandé:
Datacenter souverain HDS certifié (obligatoire réglementairement), complété par une copie on-premise pour la disponibilité immédiate et le RTO court.
La majorité des ETI françaises de 50 à 500 salariés n'ont pas de RSSI à temps plein. La gestion de la conformité et de l'infrastructure backup repose sur le DSI, parfois seul.
Modèle recommandé:
Infrastructure dédiée managée par un prestataire spécialisé. L'installation, la configuration, les tests annuels assistés et la maintenance sont pris en charge intégralement. L'équipe interne ne mobilise aucune ressource sur le backup.
Scenario illustratif:
Thomas, DSI d'une ETI agroalimentaire de 120 personnes en Normandie, gérait seul un backup Azure depuis 3 ans. Lors d'un audit NIS2 préparatoire
en avril 2026, l'architecte mandaté a identifié deux problèmes: aucun test de restauration documenté depuis 18 mois, et une absence de copie hors ligne (non-conformité NIS2 article 21).
Thomas a déployé une infrastructure dédiée managée en deux semaines. Le premier test de restauration assisté a été réalisé et documenté le mois suivant. Résultat: une conformité prouvable sans avoir mobilisé une seule heure de son équipe IT sur le projet backup.
Pour une entreprise sans équipe dédiée, la sauvegarde externalisée managée est la voie la plus rapide vers la conformité. Voyez comment VYTALX prend en charge l'ensemble du cycle de vie
Demandez la documentation technique de l'architecture: schéma réseau, configuration des VLAN, procédures d'air-gap si applicable. Un prestataire capable de répondre à NIS2 fournit ce document sans délai. Un prestataire qui parle d'isolation sans pouvoir le démontrer sur papier ne satisfait pas l'article 21.
Le RTO doit être précisé dans le SLA, et des tests réguliers doivent être documentés avec les métriques réelles mesurées (pas des estimations théoriques). Vérifiez que ces tests sont inclus dans le contrat, pas facturés séparément, et que les rapports sont exportables pour vos auditeurs.
Un prestataire qui dit "RTO de 2 heures" sans avoir de rapport de test daté dans les 12 derniers mois ne garantit rien.
Demandez le certificat de localisation du datacenter (Tier 3 minimum, Tier 4 pour les secteurs critiques), la liste des pays où peuvent résider les copies, et les conditions de transfert éventuel. Pour DORA, les contrats TIC doivent inclure une clause précisant la localisation des données et les conditions d'accès en cas d'audit réglementaire.
Si votre entreprise exploite des automates, SCADA ou équipements industriels legacy, vérifiez que le prestataire dispose d'agents certifiés et de références clients dans des environnements similaires. La sauvegarde d'un automate Siemens S7 ou d'un SCADA WinCC nécessite des procédures différentes d'un serveur Windows standard.
Un prestataire généraliste sans référence OT documentée n'est pas adapté à une entité NIS2 Annexe I industrielle.
L'externalisation des sauvegardes recouvre trois architectures aux performances et aux niveaux de conformité très différents. Le cloud pur convient aux données non critiques sans contrainte réglementaire forte. Pour les ETI soumises à NIS2 ou DORA, il n'est pas suffisant en tant que seule copie externalisée.
Le datacenter souverain répond aux exigences de localisation et de disponibilité, mais dépend du réseau lors de la restauration. L'infrastructure dédiée on-premise offre les RTO les plus courts, l'isolation maximale et la compatibilité OT, avec un déploiement que les prestataires managés absorbent entièrement dans leur offre.
Le coût moyen d'une cyberattaque pour une ETI française atteint 466 000 euros (ANSSI/Bpifrance 2025). 50 à 60 % des entreprises touchées cessent leur activité dans les 18 mois. Le choix de votre infrastructure de sauvegarde n'est pas un poste d'optimisation budgétaire: c'est le facteur qui détermine si vous redémarrez en quelques heures ou en plusieurs jours.
Pour une vue d'ensemble de la stratégie de sauvegarde externalisée en 2026, consultez notre guide complet de la sauvegarde externalisée
Planifiez un audit gratuit de 30 minutes pour évaluer quel modèle correspond à votre profil réglementaire et à vos contraintes.
