La règle 3-2-1 est un standard de sauvegarde établi depuis les années 2000 : trois copies des données, sur deux supports différents, dont une hors-site. Elle reste pertinente comme socle. Mais en 2026, face aux ransomwares qui ciblent délibérément les sauvegardes et aux exigences NIS2 sur la résilience prouvée, elle présente deux angles morts que sa version actualisée, la règle 3-2-1-1-0, adresse directement.
Ce guide explique les deux évolutions, comment les mettre en œuvre concrètement selon votre environnement, et pourquoi la règle 3-2-1-1-0 est aujourd'hui le standard de référence attendu lors des contrôles de conformité NIS2.
Pour comprendre comment intégrer ce standard dans votre stratégie de sauvegarde globale, consultez notre guide complet sur la sauvegarde externalisée.
Pour les exigences NIS2 spécifiques au backup, consultez notre guide : NIS2 et backup : quelles obligations techniques concrètes ?
La règle 3-2-1 repose sur un principe simple : maintenir trois copies des données, sur deux supports différents, dont une hors-site.
Trois copies des données de production : ici l'objectif est d'éviter qu'un incident unique compromette toutes les copies simultanément.
Deux supports différents, les deux sauvegardes doivent être stockées sur des supports de nature distincte : par exemple un NAS local et un cloud, ou un serveur de sauvegarde et des bandes magnétiques. Un incident qui affecte un type de support ne compromet pas l'autre.
Une copie hors-site, au moins une sauvegarde doit être physiquement éloignée du site principal. Un sinistre physique type incendie, inondation ou vol ne peut pas détruire simultanément les données de production et toutes les sauvegardes.
La règle 3-2-1 adresse efficacement les scénarios classiques de perte de données : défaillance matérielle, erreur humaine, sinistre physique localisé.
Elle est simple à comprendre, à communiquer et à mettre en œuvre. C'est pour ces raisons qu'elle reste le point de départ de toute stratégie
de sauvegarde sérieuse.
La règle 3-2-1 a été conçue avant que les ransomwares ne deviennent la menace principale. Elle présente deux angles morts critiques en 2026.
Le premier : elle ne dit rien sur l'accessibilité des sauvegardes depuis le réseau. Deux copies stockées sur des supports différents mais
toutes les deux accessibles depuis le réseau de production restent exposées au même vecteur d'attaque. Un ransomware ayant compromis le réseau
peut atteindre les deux simultanément.
Le second : elle ne dit rien sur la vérification des restaurations. Trois copies de données corrompues ou jamais testées n'offrent aucune garantie de restauration réelle.
La règle 3-2-1-1-0 ajoute deux composantes à la règle originale, chacune répondant à un angle mort précis.
Ce chiffre répond directement à la limite principale de la règle 3-2-1 face aux ransomwares : l'absence d'exigence sur l'accessibilité des copies depuis le réseau.
La copie air-gappée ou immuable doit être inaccessible depuis le réseau de production, physiquement déconnectée ou protégée par un mécanisme WORM qui empêche toute modification pendant la période de rétention. C'est la seule copie dont un ransomware ayant compromis l'ensemble du réseau ne peut pas s'emparer.
En pratique, cette copie peut prendre plusieurs formes selon les ressources disponibles : une appliance on-premise physiquement déconnectée du réseau de production, une bande magnétique stockée hors-ligne, ou un stockage cloud avec immuabilité WORM activée et accès restreint. L'essentiel est qu'elle soit hors de portée d'une attaque réseau.
Ce chiffre répond au second angle mort de la règle 3-2-1 : l'absence d'exigence sur la vérification des copies.
Zéro erreur non détectée ne signifie pas zéro erreur, les corruptions silencieuses, les sauvegardes incomplètes, les fichiers verrouillés lors de la sauvegarde existent dans tous les environnements. Ce que ce chiffre impose, c'est que ces erreurs soient détectées et corrigées avant qu'un incident réel ne révèle leur existence.
Concrètement, cela implique un monitoring actif des jobs de sauvegarde avec alertes sur les anomalies, des tests de restauration réguliers avec vérification de l'intégrité des données, et des rapports documentés exploitables lors d'un contrôle NIS2.
En 2026, de nombreux experts recommandent d'aller plus loin avec la règle du 3-2-1-1-0 : une copie hors-ligne air-gap indispensable contre
les ransomwares, et zéro erreur constatée lors des tests de restauration. C'est cette version qui est attendue pour les audits de conformité NIS2.
La mise en œuvre de la règle 3-2-1-1-0 dépend de la taille de l'organisation, de la criticité des systèmes et de la présence ou non d'environnements OT. Voici deux scénarios pratiques.
Zéro erreur non détectée : monitoring actif des jobs de sauvegarde, test partiel trimestriel sur les systèmes critiques, test complet annuel avec rapport documenté.
Les environnements OT (SCADA, automates, systèmes de supervision) imposent des contraintes supplémentaires.
La connectivité internet de ces systèmes est souvent limitée ou inexistante, et les RTO doivent être très courts.
Zéro erreur non détectée : les tests de restauration doivent inclure la vérification que les configurations d'automates et les paramètres SCADA sont bien restaurés et opérationnels pas seulement que les fichiers sont copiés.
La fréquence des sauvegardes doit être alignée sur les RPO définis pour chaque système: une sauvegarde quotidienne pour un RPO de 24 heures, des sauvegardes incrémentales horaires pour un RPO d'une heure. Un RPO défini sans sauvegarde correspondante est une incohérence qui sera identifiée lors d'un test ou d'un contrôle ANSSI.
Les accès à la copie air-gappée ou immuable doivent être tracés (qui a accédé, quand, pour quelle opération). Cette traçabilité fait partie de la documentation attendue lors d'un contrôle NIS2.
La règle 3-2-1-1-0 n'est pas un standard inventé par l'industrie de la sauvegarde pour vendre des solutions supplémentaires. Elle correspond point
par point aux exigences du ReCyF de l'ANSSI sur la continuité d'activité et la résilience des systèmes.
L'objectif 14 impose des sauvegardes régulières et testées permettant une restauration dans des délais maîtrisés. Les trois copies de la règle 3-2-1-1-0 garantissent la disponibilité d'au moins une version saine après un incident. Le "zéro erreur non détectée" garantit que cette disponibilité est vérifiée
avant l'incident.
L'objectif 15 impose des procédures de reprise testées et documentées. Les tests de restauration associés à la règle 3-2-1-1-0, avec rapports documentant les RTO/RPO réels obtenus, constituent directement les pièces justificatives de cet objectif.
Le guide ANSSI "Sauvegarde des systèmes d'information" recommande que l'infrastructure de sauvegarde soit dans une zone réseau distincte
de la production. La copie air-gappée de la règle 3-2-1-1-0 va au-delà de cette exigence minimale, elle supprime complètement le vecteur d'attaque réseau sur au moins une copie, ce qui constitue le niveau de protection le plus élevé pour les systèmes critiques.
Une entité qui peut démontrer l'application de la règle 3-2-1-1-0 avec les trois copies documentées, la copie air-gappée ou immuable justifiée techniquement, et les rapports de tests de restauration dispose d'un dossier de conformité solide sur la partie sauvegarde.
Elle n'a pas à justifier individuellement chaque choix technique : la règle 3-2-1-1-0 est un standard reconnu dont l'application constitue
un moyen acceptable de conformité aux objectifs ReCyF.
Pour approfondir les exigences NIS2 sur le backup, consultez notre guide : NIS2 et backup : quelles obligations techniques concrètes ?
La règle 3-2-1-1-0 est la réponse structurée aux deux lacunes principales de la règle originale : l'absence d'exigence sur l'accessibilité des copies depuis le réseau, et l'absence de vérification systématique de leur utilisabilité. Ses deux ajouts transforment une stratégie de sauvegarde en dispositif de résilience réel, vérifiable et conforme aux objectifs ReCyF.
Sa mise en œuvre ne nécessite pas une infrastructure complexe. Une appliance on-premise physiquement déconnectée du réseau de production combinée à une réplication cloud souveraine couvre l'ensemble des exigences avec une seule brique qui adresse simultanément la copie locale, la copie air-gappée et la redondance hors-site.
VYTALX déploie des architectures conformes à la règle 3-2-1-1-0 : sauvegarde on-premise air-gappée, réplication cloud souverain, tests de restauration assistés et rapports auditables inclus dans le SLA.
