En 2026, 72% des victimes de ransomware avaient des sauvegardes mais ne pouvaient pas les restaurer, parce qu'elles étaient connectées au réseau de production, non testées, ou compromises avant même le déclenchement de l'alerte. Ce chiffre illustre un problème de fond : avoir une sauvegarde et avoir une sauvegarde utilisable sont deux réalités très différentes.
L'externalisation de la sauvegarde est souvent présentée comme la solution à ce problème. Mais l'externalisation prend des formes très différentes: du simple backup cloud à la sauvegarde air-gap on-premise managée avec des niveaux de protection, de souveraineté et de conformité NIS2 radicalement distincts.
Ce guide analyse ces approches de manière objective : ce qu'elles protègent réellement, ce qu'elles ne couvrent pas, et comment choisir la solution adaptée à votre niveau de criticité et à vos obligations réglementaires.
Pour comprendre le cadre réglementaire NIS2 sur la sauvegarde, consultez notre guide: NIS2 et backup : quelles obligations techniques concrètes ?
Pour les fondamentaux du PRA et du PCA, consultez notre guide complet PCA et PRA 2026
Trois dynamiques convergentes rendent le sujet incontournable pour les ETI françaises en 2026.
Les ransomwares modernes ne se contentent plus de chiffrer les données de production. Les malwares de dernière génération cartographient silencieusement un système d'information pendant des semaines avant de déclencher le chiffrement, en ciblant en priorité les sauvegardes accessibles depuis le réseau. Une sauvegarde connectée en permanence au réseau de production est une sauvegarde exposée au même vecteur d'attaque
que les données qu'elle est censée protéger.
Les attaques par ransomware ciblant les PME en Europe ont augmenté de 38% en 2025.Pour les entreprises industrielles, le risque est amplifié par
la convergence IT/OT, les systèmes de supervision et les environnements de production sont de plus en plus connectés, élargissant la surface d'attaque.
Les objectifs 14 et 15 du ReCyF de l'ANSSI imposent des sauvegardes régulières, testées et documentées, avec une capacité de restauration démontrable lors d'un contrôle. Ce n'est plus suffisant d'avoir une solution de sauvegarde en place : il faut pouvoir prouver qu'elle fonctionne, sur quel périmètre,
dans quels délais, et avec quels résultats documentés.
Pour les entités essentielles, l'ANSSI peut vérifier ces éléments lors d'audits proactifs. Pour les entités importantes, un incident déclenche un contrôle immédiat. Dans les deux cas, l'absence de documentation sur la sauvegarde est un écart de conformité direct.
Les entreprises françaises gèrent des environnements de plus en plus hétérogènes : serveurs physiques, machines virtuelles, Microsoft 365,
données critiques locales, et pour les industriels, des environnements OT avec des contraintes spécifiques de disponibilité.
Une stratégie de sauvegarde uniforme et mal adaptée crée des angles morts sur les systèmes les moins bien couverts, souvent les plus critiques.
L'externalisation de la sauvegarde ne désigne pas une solution unique. Trois architectures principales coexistent en 2026, avec des niveaux de protection, de souveraineté et de conformité NIS2 très différents.
Les données sont répliquées vers un datacenter tiers, cloud public ou privé. C'est l'approche la plus simple à déployer et la plus scalable.
Elle répond aux exigences de redondance hors-site et, si l'immuabilité est activée, à celles de protection contre la suppression.
Ses limites apparaissent sur deux points précis. La souveraineté des données dépend entièrement du fournisseur : un cloud non européen expose
les données à des juridictions étrangères, incompatible avec NIS2 pour les secteurs régulés. Le cloisonnement physique imposé par le ReCyF
n'est pas satisfait par une sauvegarde cloud accessible en permanence depuis le réseau de production via une connexion internet.
Elle convient aux données moins critiques ou comme couche de redondance complémentaire dans une architecture hybride.
Une composante on-premise locale assure la restauration rapide et le cloisonnement immédiat, tandis qu'une réplication vers un cloud souverain français apporte la redondance hors-site et l'immuabilité distante.
C'est l'architecture qui répond le plus complètement aux exigences NIS2 pour la majorité des entreprises : immuabilité sur les deux couches,
isolation physique assurée par la composante locale, redondance hors-site couverte par le cloud, souveraineté garantie par le choix d'un datacenter français certifié.
Un hardware dédié est installé sur le site client, préconfiguré et maintenu par un prestataire externe. Les données restent sur site.
La gestion, la surveillance et les tests sont assurés à distance par le prestataire sans intervention des équipes internes au quotidien.
Cette approche offre un contrôle maximal sur les données et une latence minimale lors de la restauration. Elle est particulièrement adaptée
aux environnements OT industriels (SCADA, automates, systèmes de supervision) pour lesquels les RTO doivent être très courts et la connectivité internet des systèmes est souvent limitée ou inexistante pour des raisons de sécurité.
Dans sa variante la plus robuste, le hardware est configuré en mode air-gap : physiquement isolé du réseau de production, accessible uniquement lors d'opérations de restauration contrôlées. C'est le niveau de cloisonnement le plus élevé au regard des exigences NIS2 sur le cloisonnement physique
des systèmes, et la seule architecture qui garantit l'existence d'une copie saine après une attaque ransomware ayant compromis l'ensemble du réseau
de production.
Son angle mort principal est la redondance hors-site : si les sauvegardes sont stockées uniquement sur le même site que la production, un sinistre physique (incendie, inondation) compromet simultanément les données et leurs copies. La combinaison avec une réplication cloud souveraine complémentaire adresse ce risque et constitue une architecture hybride complète au sens de la règle 3-2-1-1-0.
NIS2 n'impose pas un modèle d'externalisation spécifique. Les objectifs 14 et 15 du ReCyF traduisent les obligations de la directive en exigences techniques que toute solution d'externalisation doit satisfaire, quelle que soit l'architecture retenue.
Les sauvegardes externalisées doivent être protégées contre toute modification ou suppression pendant une période de rétention définie.
Cette immuabilité doit être implémentée au niveau du stockage (mécanisme WORM) et non via une politique logicielle configurable par un administrateur. Sur une solution cloud, cela signifie activer explicitement l'immuabilité sur le bucket ou le volume de stockage. Sur une solution on-premise,
cela implique un hardware qui supporte nativement ce mécanisme.
Le ReCyF impose la maîtrise des accès physiques et le cloisonnement des systèmes. Le guide ANSSI "Sauvegarde des systèmes d'information"
précise que l'infrastructure de sauvegarde doit être dans une zone réseau distincte de la production. L'air-gap physique va au-delà de cette exigence minimale, il supprime le vecteur d'attaque réseau plutôt que de le réduire, ce qui en fait le niveau recommandé pour les environnements OT
et les entités essentielles.
Une sauvegarde cloud accessible en permanence depuis le réseau de production ne satisfait pas cette exigence. Une copie on-premise air-gappée
ou une copie cloud accessible uniquement via un accès contrôlé et tracé y répond.
Pour les secteurs régulés couverts par NIS2, les données doivent être hébergées dans un datacenter souverain situé en France
ou dans l'Union Européenne, avec une certification de haute disponibilité. Un prestataire cloud non européen ne satisfait pas cette exigence
pour les entités essentielles et importantes des secteurs critiques.
Le prestataire d'externalisation doit être capable de produire des rapports de tests de restauration réguliers avec les RTO/RPO réels obtenus.
Ces rapports constituent la pièce centrale du dossier de conformité NIS2 sur la partie backup. Sans eux, l'architecture technique seule ne démontre
pas la conformité.
Pour approfondir ces exigences, consultez notre guide : NIS2 et backup : quelles obligations techniques concrètes ?
Le choix d'une solution de sauvegarde externalisée ne peut pas reposer uniquement sur le coût ou la simplicité de déploiement.
Voici les critères techniques et contractuels à évaluer systématiquement.
Pour les entreprises dans le périmètre NIS2, les données doivent être hébergées en France ou dans l'Union Européenne, dans un datacenter avec
une certification de haute disponibilité. Demandez systématiquement une attestation de localisation des données avant de signer
un contrat d'externalisation.
Vérifiez que l'immuabilité est implémentée au niveau du stockage physique (mécanisme WORM) et non via une politique logicielle modifiable
par un administrateur. Demandez une démonstration technique, pas une confirmation commerciale. Un prestataire qui ne peut pas montrer
comment l'immuabilité est implémentée au niveau du hardware ne satisfait pas les exigences NIS2.
Au moins une copie des sauvegardes doit être physiquement ou logiquement isolée du réseau de production. Vérifiez que cette isolation est documentée et traçable avec des logs d'accès lors des opérations de restauration.
Le prestataire doit inclure dans son SLA des tests de restauration réguliers avec production de rapports documentant les RTO/RPO réels obtenus. Ces rapports doivent être transmis au client et conservés pour constituer le dossier de conformité NIS2. Un prestataire qui ne produit pas ces rapports ne permet pas de démontrer la conformité lors d'un contrôle ANSSI.
La solution doit couvrir l'ensemble des systèmes et données critiques identifiés dans votre analyse d'impact, y compris les environnements OT
si applicable, Microsoft 365, et les bases de données critiques. Un périmètre partiel crée des angles morts directement exploitables lors d'un incident.
Un prestataire qui gère vos sauvegardes est un prestataire critique au sens NIS2. Il doit être en mesure de démontrer son propre niveau de sécurité,
de produire les documents nécessaires à votre dossier de conformité, et de répondre aux sollicitations de l'ANSSI si nécessaire.
Un prestataire incapable de fournir ces éléments devient un risque de conformité pour votre entité.
Microsoft 365, Google Workspace, Dropbox, beaucoup d’entreprises considèrent que leurs données sont sauvegardées parce qu'elles sont dans le cloud. C'est une erreur de compréhension fréquente et coûteuse. Les grands acteurs cloud fonctionnent sur un modèle de responsabilité partagée :
ils garantissent la disponibilité de leur infrastructure, pas la récupération de vos données en cas de suppression accidentelle, de ransomware
ou d'erreur utilisateur. Une sauvegarde indépendante et déconnectée du compte principal reste indispensable, même en environnement full cloud.
Beaucoup de solutions de sauvegarde cloud proposent une rétention configurable, ce qui n'est pas la même chose que l'immuabilité.
Une rétention configurable peut être modifiée ou désactivée par un compte administrateur compromis. Avant de signer un contrat d'externalisation, vérifiez que l'immuabilité est implémentée au niveau du stockage physique, pas uniquement via une politique logicielle.
L'erreur la plus fréquente des groupes industrielles : les environnements OT (SCADA, automates, systèmes de supervision) sont exclus du périmètre
de sauvegarde. Ces systèmes sont souvent les plus critiques pour la continuité de la production, et les plus difficiles à reconfigurer après un incident.
Un périmètre de sauvegarde qui n'inclut pas les environnements OT laisse un angle mort majeur dans la stratégie de résilience.
Une sauvegarde non testée est une hypothèse. Les fichiers corrompus, les dépendances manquantes, les performances de restauration inférieures
aux estimations, ces problèmes ne se découvrent pas lors de la configuration, mais lors de la restauration. En externalisation, c'est le prestataire qui
doit produire ces tests et les rapports associés. Un prestataire qui ne le fait pas spontanément ne permettra pas de démontrer la conformité NIS2
lors d'un contrôle.
Le coût est un critère légitime mais insuffisant. Un prestataire incapable de produire les preuves techniques de l'immuabilité, les rapports de tests
de restauration ou la documentation de son architecture de sécurité crée un angle mort dans votre dossier de conformité NIS2, indépendamment
de la qualité technique de sa solution. Le prestataire de sauvegarde est un prestataire critique au sens NIS2 : son niveau de sécurité engage directement votre conformité.
En 2026, la sauvegarde externalisée est un sujet d'architecture autant que de conformité. Le choix entre cloud pur, hybride et on-premise managé détermine directement le niveau de protection réel, la souveraineté des données et la capacité à démontrer la conformité NIS2 lors d'un contrôle ANSSI.
Les organisations qui découvrent les limites de leur solution lors d'un incident (sauvegardes compromises, périmètre incomplet, restauration trop lente) sont celles qui n'ont pas soumis leur prestataire aux quatre questions essentielles : où sont les données, comment l'immuabilité est-elle garantie,
quand les restaurations ont-elles été testées, et quels résultats ont été documentés ?
VYTALX accompagne les ETI et entreprises des secteurs régulés dans la mise en place d'une infrastructure de sauvegarde externalisée conforme
aux exigences NIS2 : on-premise managé avec option air-gap, réplication cloud souveraine, tests assistés et rapports auditables inclus dans le SLA.
