Les chiffres sont connus, la majorité des victimes de ransomware avaient des sauvegardes au moment de l'attaque.
Le problème venait bien souvent de l'architecture plus que de la sauvegarde en elle même : connectées au réseau de production, non testées, ou compromises avant même le déclenchement de l'alerte.
Sécuriser une sauvegarde va bien au-delà du chiffrement des données en transit. C'est un ensemble de propriétés techniques qui, combinées, garantissent qu'une copie saine sera disponible après un incident, qu'il s'agisse d'un ransomware, d'une défaillance matérielle, ou d'un sinistre physique.
Ce guide détaille ces propriétés, explique pourquoi l'isolation physique en est le niveau le plus élevé, et comment construire une architecture de sauvegarde réellement sécurisée en 2026.
Pour comprendre les exigences NIS2 spécifiques sur la sauvegarde, consultez notre guide : NIS2 et backup : quelles obligations techniques concrètes ?
Pour approfondir l'immuabilité des sauvegardes, consultez notre guide : Sauvegarde immuable : définition, fonctionnement et pourquoi c'est indispensable en 2026
Le terme "sauvegarde sécurisée" est utilisé de manière très variable selon les fournisseurs. Pour certains, il désigne simplement une sauvegarde chiffrée
en transit. Pour d'autres, il couvre un ensemble de propriétés techniques qui, combinées, garantissent qu'une copie saine sera disponible
après un incident majeur.
Une sauvegarde réellement sécurisée repose sur quatre propriétés distinctes. Elles sont complémentaires, aucune ne remplace les autres.
La sauvegarde ne peut pas être modifiée, chiffrée ou supprimée pendant sa période de rétention. Dans sa forme la plus robuste, immuabilité WORM
au niveau du stockage, cette protection est indépendante des couches logicielles et ne peut pas être contournée par un compte administrateur compromis. C'est la protection centrale contre les ransomwares qui ciblent les sauvegardes en priorité.
La sauvegarde ne peut pas être modifiée, chiffrée ou supprimée pendant sa période de rétention.
Dans sa forme la plus robuste, immuabilité WORM au niveau du stockage, cette protection est indépendante des couches logicielles et ne peut pas
être contournée par un compte administrateur compromis. C'est la protection centrale contre les ransomwares qui ciblent les sauvegardes en priorité.
Au moins une copie des sauvegardes est physiquement ou logiquement déconnectée du réseau de production. Une sauvegarde accessible
en permanence depuis le réseau reste exposée aux mêmes vecteurs d'attaque que les données de production.
L'isolation peut prendre plusieurs formes : air-gap physique, accès uniquement lors d'opérations contrôlées, ou déconnexion logique après transfert.
Les données sont chiffrées en transit et au repos. Le chiffrement protège contre l'exfiltration. Un attaquant qui accéderait physiquement au support
de stockage ne peut pas lire les données sans la clé. La gestion des clés est un point critique : les clés doivent être stockées séparément des données
et accessibles uniquement lors des opérations de restauration autorisées.
Une sauvegarde dont la restauration n'a jamais été testée est une hypothèse. La testabilité désigne la capacité à vérifier régulièrement que la restauration fonctionne, dans quels délais, sur quel périmètre, et à produire des rapports documentés de ces tests. C'est cette propriété qui transforme une sauvegarde technique en preuve de conformité NIS2.
L'immuabilité protège les sauvegardes contre la modification ou la suppression. L'isolation physique va plus loin : elle coupe le vecteur d'attaque lui-même en rendant les sauvegardes physiquement inaccessibles depuis le réseau de production.
Une sauvegarde accessible en permanence depuis le réseau de production partage le même périmètre d'exposition que les données qu'elle protège.
Un attaquant qui a compromis le réseau peut accéder aux agents de sauvegarde, analyser la topologie des copies, et tenter d'exploiter des vulnérabilités dans le système de stockage, même si les données sont immuables. L'isolation physique supprime ce vecteur d'attaque en rendant les sauvegardes physiquement inaccessibles depuis le réseau de production, quelle que soit la sophistication de l'attaque.
L'isolation peut être mise en œuvre à plusieurs niveaux, du moins au plus robuste.
La déconnexion logique automatise la déconnexion du réseau après chaque transfert de sauvegarde. La copie n'est accessible qu'en lecture lors des opérations de restauration. C'est une protection efficace contre les attaques automatisées mais qui peut être contournée par un attaquant ayant un accès persistant au système.
L'air-gap physique est le niveau le plus robuste. Le hardware de sauvegarde est physiquement séparé du réseau de production: pas de connexion réseau permanente, accès uniquement lors d'opérations de restauration contrôlées et traçées. Même un attaquant ayant un accès complet au réseau
de production ne peut pas atteindre les copies air-gappées.
Pour les entreprises industrielles l'air-gap on-premise est souvent l'unique architecture viable. Les systèmes OT (SCADA, automates, systèmes
de supervision) ont des contraintes de disponibilité très strictes et une connectivité internet souvent limitée ou inexistante pour des raisons de sécurité opérationnelle. Une solution de sauvegarde cloud ou hybride nécessitant une connexion internet permanente n'est pas compatible avec ces contraintes.
Un hardware dédié, installé sur site, précconfiguré et maintenu par un prestataire externe, répond à ces contraintes sans alourdir les équipes internes. C'est le modèle clé en main avec zéro CAPEX pour le client, maintenance et tests assurés par le prestataire et rapports de conformité auditables inclus dans le SLA.
L'air-gap on-premise seul présente un angle mort : si les sauvegardes sont stockées uniquement sur le même site que la production, un sinistre physique (incendie, inondation,..) compromet simultanément les données et leurs copies. La règle 3-2-1-1-0 adresse ce risque : trois copies, sur deux supports différents, dont une hors-site, une copie on-premise, air-gappée, et zéro erreur de restauration non détectée. L'architecture hybride avec un air-gap on-premise complété par une réplication vers un cloud souverain français est la mise en œuvre la plus complète de ce standard.
Le chiffrement et la souveraineté des données sont deux propriétés distinctes mais complémentaires. Le chiffrement protège le contenu des données contre l'exfiltration. La souveraineté protège contre les risques juridiques et réglementaires liés à la localisation des données.
Le chiffrement en transit protège les données pendant leur transfert vers le site de sauvegarde entre l'agent sur le serveur client et le stockage distant.
Il est aujourd'hui standard sur toutes les solutions sérieuses et utilise des protocoles TLS.
Le chiffrement au repos protège les données stockées sur le support de sauvegarde : serveur on-premise, volume cloud, bande magnétique.
En cas d'accès physique non autorisé au support, les données restent illisibles sans la clé de déchiffrement.
Le chiffrement n'est aussi robuste que la gestion des clés qui l'accompagne. Des clés stockées sur le même système que les données chiffrées
ne protègent pas contre un attaquant ayant un accès complet au système. Les clés de chiffrement doivent être stockées séparément des données, idéalement sur un système physiquement distinct, avec un accès restreint aux seules opérations de restauration autorisées.
Pour les environnements très critiques, un HSM (Hardware Security Module) assure la gestion des clés dans un composant physiquement sécurisé, indépendant du système de sauvegarde.
Pour les entreprises dans le périmètre NIS2, en particulier les entités essentielles et importantes des secteurs régulés, les données de sauvegarde doivent être hébergées en France ou dans l'Union Européenne. Un prestataire cloud américain ou asiatique expose les données à des législations extraterritoriales, le Cloud Act américain permet par exemple aux autorités américaines d'accéder aux données stockées par des entreprises américaines, même sur des serveurs en Europe.
Pour les entités des secteurs santé, finance ou défense, la souveraineté des données de sauvegarde est une exigence réglementaire directe,
pas un critère de confort. Un datacenter souverain français avec une certification de haute disponibilité Tier 3 minimum est l'exigence de référence.
Une sauvegarde immuable, isolée et chiffrée reste une hypothèse si elle n'a jamais été testée.
La sécurité d'une sauvegarde se mesure à la capacité de restaurer, dans quels délais, sur quel périmètre, et avec quels résultats documentés.
Un test de restauration annuel sur les systèmes critiques est le minimum attendu par le ReCyF pour une entité importante.
Pour les entités essentielles soumises à une supervision proactive de l'ANSSI, la fréquence et la profondeur des tests seront évaluées directement
lors des audits.
En pratique, un programme de tests efficace combine des tests partiels tous les 3 à 6 mois sur les systèmes les plus critiques, et un test complet annuel incluant une simulation de sinistre majeur avec mesure des RTO/RPO réels. Sur une architecture on-premise managée, ces tests peuvent être réalisés
en environnement isolé sans impacter la production.
Un rapport de test de restauration exploitable lors d'un contrôle ANSSI doit documenter : la date et le périmètre du test, la méthode utilisée (test partiel, test complet, dissimilar hardware), les RTO/RPO réels mesurés système par système, les écarts constatés par rapport aux objectifs définis, et les actions correctives engagées avec leurs délais.
Ce rapport est la pièce centrale du dossier de conformité NIS2 sur la partie sauvegarde. Sans lui, l'architecture technique seule ne démontre pas
la conformité.
Un job de sauvegarde qui s'exécute sans erreur apparente n'est pas nécessairement une sauvegarde utilisable. Les corruptions silencieuses, les sauvegardes incomplètes dues à des fichiers verrouillés, ou les espaces disque saturés passent souvent inaperçus jusqu'au moment où on en a besoin.
Un monitoring actif avec alertes sur chaque anomalie (échec, durée anormale, taux de déduplication inhabituel, espace disque critique) est la condition pour détecter ces problèmes avant qu'ils deviennent critiques. Ce monitoring doit être assuré par le prestataire et inclus dans son SLA,
avec une escalade automatique en cas d'anomalie.
Les quatre propriétés d'une sauvegarde sécurisée (immuabilité, isolation physique, chiffrement, testabilité) correspondent directement aux exigences
du ReCyF de l'ANSSI sur la continuité d'activité et la résilience des systèmes.
L'objectif 14 impose la capacité à maintenir ou restaurer les activités critiques après un incident. Il implique des sauvegardes régulières, testées,
permettant une restauration dans des délais maîtrisés, ce qui suppose une immuabilité réelle et une isolation suffisante pour garantir que les copies
sont disponibles après une attaque.
L'objectif 15 impose un plan de reprise documenté avec des procédures testées. Les rapports de tests de restauration constituent la pièce justificative centrale de cet objectif, sans eux, l'architecture technique ne suffit pas à démontrer la conformité.
Le ReCyF impose la maîtrise des accès physiques et le cloisonnement des systèmes. Le guide ANSSI "Sauvegarde des systèmes d'information" précise
que l'infrastructure de sauvegarde doit être connectée dans une zone réseau distincte de la production et non accessible directement depuis le réseau
des utilisateurs ou des systèmes de production. L'air-gap physique va au-delà de cette exigence minimale, c'est le niveau le plus élevé de protection, recommandé pour les systèmes critiques et les entités essentielles. Une sauvegarde cloud accessible en permanence depuis le réseau ne satisfait
pas cette exigence. Une copie on-premise air-gappée ou une copie accessible uniquement lors d'opérations contrôlées et tracées y répond.
Lors d'un contrôle sur la partie sauvegarde, l'ANSSI évalue quatre éléments : la documentation technique de l'immuabilité, les preuves de l'isolation physique, les rapports de tests de restauration avec RTO/RPO mesurés, et le SLA du prestataire. Une sauvegarde techniquement solide
sans documentation exploitable constitue un écart de conformité direct.
Pour approfondir les obligations NIS2 spécifiques au backup, consultez notre guide : NIS2 et backup : quelles obligations techniques concrètes ?
En termes de sauvegardes sécurisées, les quatre propriétés: immuabilité, isolation, chiffrement, testabilité forment un système cohérent où chaque propriété adresse des menaces que les autres ne couvrent pas.
Pour les environnements critiques (OT industriels, entités essentielles NIS2, secteurs régulés) l'air-gap physique est le niveau d'isolation le plus robuste :
il supprime le vecteur d'attaque réseau plutôt que de le réduire. Combiné à une réplication cloud souveraine pour la redondance hors-site, il constitue l'architecture la plus complète au regard des exigences NIS2 et des menaces ransomware actuelles.
VYTALX déploie des solutions de sauvegarde on-premise avec option air-gap, préconfigurées et maintenues par nos équipes, avec les rapports de tests de restauration nécessaires à votre dossier de conformité NIS2.
