En une phrase. La règle 3-2-1 est le standard mondial de la sauvegarde : 3 copies des données, sur 2 supports différents, dont 1 hors site. L’ANSSI la cite dans le guide « Attaques par rançongiciels, tous concernés » (2023) et la fait évoluer vers le 3-2-1-1-0 : ajout d’une copie immuable (1) et zéro erreur vérifiée par tests de restauration. Sans sauvegarde résistante aux ransomware, 60 % des victimes paient (Sophos 2024) et 80 % ne récupèrent pas l’intégralité des données.
L’ANSSI et le CERT-FR rappellent dans tous leurs alertes : la sauvegarde immuable est devenue la seule défense crédible contre le ransomware moderne qui chiffre activement les backups en ligne avant de chiffrer la production.
Pour approfondir : PSSI ANSSI, PCA ANSSI, SecNumCloud.
Points clés
- 3 copies, 2 supports, 1 hors site : la règle 3-2-1 historique.
- 3-2-1-1-0 : ajout d’une copie immuable + zéro erreur vérifiée.
- L’air gap ou l’immuabilité S3 Object Lock sont les seules protections vraies contre ransomware.
- Les tests de restauration doivent être mensuels sur un échantillon, annuels complets.
- NIS 2 art. 21 §2© cite explicitement la gestion des sauvegardes.
1. La règle 3-2-1 expliquée
| Chiffre | Signification | Objectif |
|---|---|---|
| 3 | 3 copies des données (production + 2 sauvegardes) | Redondance |
| 2 | 2 types de supports différents | Résilience matérielle |
| 1 | 1 copie hors site (off-site) | Résilience géographique |
Originaire de la photographie professionnelle (années 2000), la règle s’est imposée comme standard IT.
2. L’évolution 3-2-1-1-0
Face au ransomware, l’industrie (Veeam, Rubrik, Cohesity) a complété :
| Chiffre | Signification | Objectif |
|---|---|---|
| +1 | 1 copie immuable (immutable) | Anti-ransomware |
| +0 | 0 erreur vérifiée par test | Fiabilité prouvée |
L’ANSSI recommande explicitement cette évolution depuis 2022 (guide rançongiciels mis à jour).
3. Immuabilité : trois technologies
| Technologie | Principe | Coût |
|---|---|---|
| WORM tape (LTO-9 WORM) | Bande non réinscriptible | Moyen |
| S3 Object Lock (AWS, OVHcloud, Wasabi) | Objet bloqué N jours | Faible-moyen |
| Snapshots immuables (Veeam Hardened Repo, Rubrik) | Snapshots ZFS / Linux hardened | Moyen |
L’AWS S3 Object Lock en mode Compliance ne peut pas être désactivé, même par root, durant la période de rétention.
4. Air gap : la sauvegarde déconnectée
L’air gap physique reste la défense ultime :
- Bandes LTO stockées en coffre (ignifuge, 1h résistance)
- Disques externes rotatifs sortis du site
- Cassette dans un autre datacenter sans liaison réseau
Coût LTO-9 : 30 To natifs / cartouche, ~120 € la cartouche. Lecteur LTO-9 : ~5 000 €.
5. RPO et RTO : définir les besoins
| Indicateur | Définition | Lien sauvegarde |
|---|---|---|
| RPO (Recovery Point Objective) | Perte de données acceptable | Fréquence sauvegarde |
| RTO (Recovery Time Objective) | Délai de remise en service | Type sauvegarde + bande passante |
Exemples sectoriels typiques :
- ERP industrie : RPO 4h, RTO 8h
- E-commerce : RPO 15 min, RTO 2h
- Banque core : RPO 0, RTO < 1h (synchronisation continue)
- Bureautique : RPO 24h, RTO 24-48h
6. Architecture cible 2026
Recommandation ANSSI pour ETI :
[Production] -> [Backup local rapide (NAS)] -> [Backup off-site (cloud)]
-> [Backup immuable (S3 Object Lock)]
-> [Backup offline (bandes LTO)]
Pour une PME :
[Production] -> [Backup local (NAS)] -> [Backup cloud avec immuabilité]
7. Logiciels de sauvegarde de référence
| Solution | Cible | Immuabilité native |
|---|---|---|
| Veeam Backup & Replication | ETI, grands comptes | Oui (Hardened Repo, Object Lock) |
| Rubrik | Grands comptes | Oui (intégrée) |
| Cohesity | Grands comptes | Oui |
| Acronis Cyber Protect | PME, ETI | Oui (cloud Acronis) |
| Bareos / Bacula | PME (open source) | Via S3 Object Lock |
| Restic | PME (open source) | Via S3 Object Lock |
| Borg / Borgmatic | PME (open source) | Via append-only mode |
8. Tests de restauration : la clé
Sans test, une sauvegarde n’existe pas. Plan recommandé ANSSI :
| Test | Fréquence | Périmètre |
|---|---|---|
| Restauration fichier unique | Hebdomadaire | 1-2 fichiers test |
| Restauration VM | Mensuelle | 1 VM aléatoire |
| Restauration applicative | Trimestrielle | 1 application métier |
| Restauration complète site | Annuelle | Exercice grandeur nature |
Plus de 30 % des sauvegardes échouent à la restauration sans test régulier (Acronis 2024).
9. Sauvegarde et RGPD
Les sauvegardes contiennent des données personnelles ; elles relèvent du RGPD :
- Inscription au registre des traitements
- Durée de conservation justifiée (alignée sur la donnée d’origine + délai opérationnel)
- Chiffrement recommandé
- Effacement suite à exercice du droit à l’oubli (avec délai technique acceptable, CNIL délibération 2021)
- Notification CNIL si perte de sauvegarde contenant données personnelles
10. Anti-ransomware : exigences spécifiques
Pour résister à un ransomware moderne (LockBit, Conti, Akira) :
- Authentification distincte : compte AD admin différent du compte sauvegarde
- MFA obligatoire sur console sauvegarde
- Réseau isolé (VLAN dédié, pas de routage production)
- Pas de partage SMB monté en permanence (vecteur Veeam Backup compromis)
- Air gap ou immuabilité activée
- Détection d’anomalies (volume écriture, ratio chiffré)
Le ransomware Conti (2021-2022) ciblait explicitement les serveurs Veeam et les NAS Synology pour chiffrer les backups en premier.
11. Sauvegarde cloud : SecNumCloud
Pour les données sensibles (santé, OIV, secteur public), la qualification SecNumCloud garantit immunité aux lois extraterritoriales. Prestataires qualifiés 2024 :
- OVHcloud (Public Cloud SecNumCloud)
- Outscale (3DS)
- Cloud Temple
- Worldline (BankSphere)
- Oodrive
- Bleu (Microsoft + Orange + Capgemini) — qualification en cours 2025
12. Sanctions et obligations légales
| Texte | Obligation |
|---|---|
| RGPD art. 32 | Sauvegarde et restauration |
| NIS 2 art. 21 §2© | Gestion des sauvegardes et reprise |
| DORA art. 12 | Politique sauvegarde et restauration |
| LPM (OIV) | Sauvegarde de configuration |
| HDS (santé) | Sauvegarde 20 ans dossier patient |
CNIL Brico Privé (2021) — 500 000 € : absence de sauvegarde fonctionnelle.
FAQ
La règle 3-2-1 est-elle toujours valable en 2026 ?
Oui mais insuffisante face au ransomware. La règle évoluée 3-2-1-1-0 (3 copies, 2 supports, 1 hors site, 1 immuable, 0 erreur prouvée) est la nouvelle référence ANSSI depuis 2022. L’immuabilité est la différence clé.
Quelle est la meilleure technologie immuable ?
Trois solutions équivalentes : WORM tape (max sécurité, RTO long), S3 Object Lock Compliance (cloud, équilibre coût/RTO), Linux Hardened Repository (Veeam, on-prem). Pour les données critiques, combiner les trois.
Combien de temps conserver les sauvegardes ?
Selon le besoin métier : 30-90 jours pour la majorité des données opérationnelles, 1 an pour archives juridiques, 10 ans comptabilité, 20 ans HDS santé. Au-delà de l’opérationnel, on parle d’archivage (réglementaire) plutôt que sauvegarde.
Faut-il sauvegarder dans le cloud ?
Recommandé en tant que copie hors site (1 du 3-2-1). Indispensable pour les PME sans second site. Pour les données sensibles : SecNumCloud. Pour le reste : AWS/Azure avec Object Lock + chiffrement client (BYOK).
Que faire si la sauvegarde est aussi compromise ?
Catastrophe maximale. Recours : (1) restauration depuis bandes offline si elles existent, (2) reconstruction partielle depuis exports métier (factures comptabilité, e-mails), (3) negociation rançon en dernier recours. C’est exactement pourquoi le 3-2-1-1-0 avec immuabilité est obligatoire — pour ne jamais arriver à cette situation.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial