Nouveau
Demander une démonstration

La règle de sauvegarde 3-2-1 pour une protection des données infaillible

Sauvegarde des données
Przemyslaw Szanowski photoPS
Przemyslaw Szanowski

Content Writer

Geoff Burke photoGB
Geoff Burke

IT Infrastructure & Data Protection Expert

La Règle de sauvegarde 3-2-1 constitue une bonne pratique majeure depuis des décennies, et pourtant une organisation sur trois ne l’applique toujours pas entièrement. [1] C’est le premier problème. Mais le second est plus important : même les organisations qui respectent cette règle n’exécutent encore qu’une stratégie conçue pour un modèle de menace obsolète.  

Les rançongiciels ont fondamentalement modifié ce modèle de menace. La règle 3-2-1 a été conçue pour un monde où la panne matérielle ou l’erreur humaine étaient les risques dominants. Mais aujourd’hui, les attaquants ciblent activement l’infrastructure de sauvegarde autant que les systèmes de production, afin d’éliminer les options de reprise avant le déclenchement de la charge utile de chiffrement. 

Une règle conçue pour survivre à un crash de disque ne répond pas à la menace actuelle d’un attaquant qui a passé des semaines à cartographier et à cibler vos systèmes de reprise avant de frapper.  

Ce guide explique ce qu’exige la règle 3-2-1, pourquoi elle est insuffisante dans les environnements modernes, et comment le modèle plus récent 3-2-1-1-0 comble ces lacunes. Il couvre également les erreurs de mise en œuvre qui laissent les organisations exposées. 

Points clés

  1. La Règle de sauvegarde 3-2-1 est la base de référence reconnue pour la protection des données, mais 31 % des organisations ne la respectent toujours pas entièrement. [1] 
  2. Les attaques par rançongiciel ciblent spécifiquement les données de sauvegarde afin d’éliminer les options de reprise. Un environnement 3-2-1 conforme, sans immutabilité, laisse cette voie ouverte. 
  3. Le modèle 3-2-1-1-0 ajoute deux exigences : une copie immuable et zéro erreur lors de la reprise, garantissant un chemin de restauration fiable après une attaque par rançongiciel ou tout autre incident. 

Qu’est-ce que la règle 3-2-1 ?

La Règle de sauvegarde 3-2-1 est la base de référence standard du secteur pour toute stratégie de sauvegarde des données. Elle repose sur un principe central : éliminer ce que l’on appelle le « destin partagé ». 

Le destin partagé est le risque qu’un événement unique anéantisse à la fois les données en production et la capacité à les restaurer. Lorsque les données de production et les sauvegardes partagent le même stockage physique ou les mêmes identifiants d’administration, une organisation n’est plus qu’à un incident d’une perte totale de données.  

La règle évite cela grâce à une séparation stricte selon trois piliers : 

Trois copies

Conservez au moins trois instances de vos données : la copie de production d’origine et deux sauvegardes distinctes. Cette approche en couches protège contre la dégradation des bits et d’autres corruptions silencieuses des données. Si l’instance de sauvegarde principale est illisible lors d’une restauration, l’autre copie offre une alternative depuis laquelle restaurer. 

Deux types de supports de stockage

Diversifiez le matériel de stockage. Une panne unique de contrôleur ou un bogue de micrologiciel peut mettre hors service une unité entière et toutes les copies qui y sont stockées. Une architecture plus résiliente s’appuie sur des architectures distinctes, comme un S3 stockage d'objets sur site haute performance en tant que dépôt principal et du stockage cloud pour le niveau secondaire. 

Une sauvegarde hors site

Au moins un point de restauration doit exister sous forme de Sauvegarde hors site, séparé physiquement et logiquement du centre de données principal. L’objectif est de survivre à un scénario d’indisponibilité du site, qu’il s’agisse d’un sinistre physique comme un incendie ou d’une attaque de chiffrement à l’échelle du réseau. 

Pourquoi la règle de sauvegarde 3-2-1 n’est plus suffisante

La règle 3-2-1 a été conçue pour un monde où la panne matérielle constituait la menace principale. Si la carte mère d’un serveur tombait en panne ou si un disque se corrompait silencieusement, disposer de trois copies distinctes garantissait qu’au moins l’une survivrait.  

Les rançongiciels ont changé la donne. Les attaques modernes ne détruisent pas les données au hasard. Les attaquants cartographient souvent un environnement pendant des semaines, identifient chaque emplacement de sauvegarde, puis déclenchent le chiffrement en neutralisant la capacité à restaurer depuis les sauvegardes.  

Selon l’enquête 2026 de Object First à l’occasion de la Journée mondiale Sauvegarde [1], 79 % des responsables IT identifient l’accès des attaquants aux sauvegardes comme leur principale préoccupation. Ce chiffre illustre à quel point le modèle de menace a basculé. 

La règle 3-2-1 n’impose aucune exigence d’immutabilité ni de sécurité Zero Trust. C’est la brèche par laquelle les attaquants s’engouffrent. Veeam le dit clairement : « Les infrastructures modernes exigent désormais des approches plus résilientes. C’est pourquoi la règle reste pertinente, mais n’est plus suffisante à elle seule. » [2] 

Les malwares dopés à l’IA aggravent fortement le problème. Ils peuvent localiser et neutraliser les chemins de reprise plus vite que les équipes de sécurité ne peuvent réagir manuellement. Selon la même enquête Object First [1], 89 % des responsables IT ont déclaré que les menaces alimentées par l’IA ont accru leurs inquiétudes concernant la sécurité des données.  

 

L’évolution moderne : le modèle de sauvegarde 3-2-1-1-0

La règle 3-2-1-1-0 ajoute deux exigences à la formule d’origine : une copie immuable et des sauvegardes vérifiées avec zéro erreur. Ensemble, elles déplacent la question de « la tâche de sauvegarde s’est-elle terminée ? » vers « pouvons-nous réellement restaurer quand nous en avons besoin ? » 

Veeam définit la règle 3-2-1-1-0 comme le standard actualisé pour l’architecture de sauvegarde. [2] Ses deux ajouts traitent directement les vulnérabilités que la règle d’origine ne couvre pas. 

Une copie immuable

Le « 1 » supplémentaire exige qu’au moins une copie soit immuable, c’est-à-dire qu’elle ne puisse pas être modifiée ni supprimée. Technologie S3 Object Lock est l’une des meilleures technologies pour garantir cela : en imposant l’immutabilité au niveau de la couche de stockage, elle bloque toute opération d’écriture ou de suppression jusqu’à l’expiration de la période de rétention. 

Zéro erreur de reprise

Le « 0 » élimine l’approche de reprise « fondée sur l’espoir », en vous permettant de démarrer une sauvegarde dans un bac à sable isolé afin de vérifier qu’elle fonctionne — avant qu’une crise n’impose la question. Sans cette vérification, un serveur peut sembler intact alors que sa base de données sous-jacente est corrompue ou partiellement chiffrée par un malware dormant.  

Pourquoi la règle de sauvegarde 3-2-1-1-0 est essentielle à la résilience face aux rançongiciels

La règle 3-2-1-1-0 est le socle technique de toute stratégie de sauvegarde résistante aux rançongiciels. Et la raison va bien au-delà de la conformité. 

Après avoir obtenu l’accès à un réseau, les attaquants passent souvent des semaines à se déplacer latéralement, en identifiant chaque point de reprise avant de déclencher la charge utile. Leur objectif est de s’assurer qu’au moment où une organisation réalise qu’elle est attaquée, la capacité de restauration a déjà été compromise. 

Seules 58 % des organisations utilisent actuellement le stockage sauvegarde immuable sur l’ensemble de leurs données. [1] Cela signifie que près de la moitié des environnements disposent d’au moins un chemin de reprise qu’un attaquant peut détruire. 

Lorsqu’il est correctement mis en œuvre, le modèle 3-2-1-1-0 supprime cette exposition :

  1. L’immutabilité native S3 dissocie l’accès administratif de la destruction des données. Même avec un mot de passe d’administrateur volé, un attaquant ne peut pas modifier ni supprimer des données immuables stockées en mode conformité. Le verrouillage au niveau du stockage reste en place jusqu’à l’expiration de la période de rétention, rendant les identifiants volés inutiles contre le niveau de reprise. 
  2. Des restaurations locales rapides neutralisent la pression liée aux temps d’arrêt sur laquelle comptent les attaquants. Le rançongiciel est une stratégie d’extorsion basée sur le temps. Une copie locale immuable signifie que les organisations n’attendent pas des jours pour rapatrier des téraoctets depuis le cloud pendant que les opérations restent à l’arrêt et que les exigences de rançon augmentent. 
  3. La vérification automatisée détecte les malwares dormants avant une restauration. Les attaquants prépositionnent souvent des malwares dans les fichiers de sauvegarde, de sorte que les organisations restaurent finalement un environnement déjà infecté. La vérification des sauvegardes dans un bac à sable recherche des signes de chiffrement silencieux et de charges utiles cachées avant de tenter une restauration. 
  4. Une segmentation stricte bloque les déplacements latéraux. La plupart des attaques se propagent dans le réseau jusqu’à atteindre chaque appareil connecté. L’isolation physique et logique du stockage de sauvegarde par rapport aux systèmes de production garantit qu’une compromission en production n’atteint pas automatiquement le niveau de reprise. 
  5. La diversité des plateformes élimine le risque de point de défaillance unique. S’appuyer sur une seule pile logicielle ou un seul type de stockage concentre la surface d’attaque. Combiner du stockage immuable sur site avec une architecture de coffre cloud différente signifie qu’aucun exploit unique ne peut compromettre l’ensemble de la stratégie. [3] 
 

Erreurs à éviter lors de la mise en œuvre de la stratégie de sauvegarde 3-2-1-1-0

Même un cadre complet échoue si la mise en œuvre laisse une porte dérobée ouverte. De nombreuses organisations cochent les cases sans considérer la manière dont un attaquant se déplace dans un réseau.  

Construire une stratégie résiliente implique de dépasser les exigences de haut niveau et de traiter les angles morts techniques spécifiques que les opérateurs de rançongiciels exploitent. 

Accès à l’identité unifié entre production et sauvegardes

Lorsque les systèmes de sauvegarde s’appuient sur le même fournisseur d’identité que la production, une compromission du domaine peut donner aux attaquants le contrôle administratif des données et des systèmes de sauvegarde — rendant souvent les copies hors site et immuables inutilisables pour la reprise, sans supprimer directement les données protégées. 

Définir des fenêtres d’immutabilité trop courtes par rapport aux durées de présence des attaquants

Un verrouillage d’immutabilité de sept jours donne un faux sentiment de sécurité lorsque les durées de présence des attaquants le dépassent régulièrement. Les rançongiciels modernes sont patients. Les attaquants attendent souvent l’expiration du verrouillage sur les sauvegardes plus anciennes avant de déclencher le chiffrement. La période d’immutabilité doit dépasser la durée de présence typique, que la plupart des chercheurs en sécurité situent entre 14 et 30 jours. C’est la période de rétention minimale dont les sauvegardes immuables ont besoin pour garder une longueur d’avance sur des attaquants patients et persistants. 

Ignorer les goulots d’étranglement de sortie lors de restaurations à grande échelle

Les administrateurs se concentrent souvent sur la vitesse d’ingestion, mais ignorent la vitesse de reprise. Si la seule copie hors site est de 100 To dans un compartiment cloud, la restauration est limitée par la bande passante Internet et la limitation du débit sortant imposée par le fournisseur cloud. Sans un niveau local immuable haute performance, une stratégie de sauvegarde techniquement conforme peut malgré tout laisser une organisation hors ligne pendant des jours lors d’une restauration complète du site. 

Vérification superficielle qui ignore l’intégrité applicative

Le « 0 » dans 3-2-1-1-0 exige une reprise vérifiée, mais vérifier qu’une VM démarre ne suffit pas. Un serveur peut démarrer alors que sa base de données sous-jacente est corrompue ou partiellement chiffrée par un malware dormant. Une vérification réelle consiste à tester les services applicatifs eux-mêmes et leurs données dans le bac à sable afin de confirmer que la reprise produit une charge de travail exploitable et cohérente — pas seulement un système d’exploitation en fonctionnement. 

Object First + Veeam = règle de sauvegarde 3-2-1-1-0

Pour mettre en œuvre avec succès la règle de sauvegarde 3‑2‑1‑1‑0, les organisations ont besoin de solutions couvrant l’ensemble des environnements, imposant l’immutabilité et permettant des tests de restauration fréquents et pertinents. En pratique, cela exige une intégration étroite entre l’orchestration des sauvegardes, la vérification et le stockage — et non des produits ponctuels isolés.

Veeam Sauvegarde & Replication fournit la base opérationnelle du 3‑2‑1‑1‑0 en orchestrant les sauvegardes sur des environnements sur site et cloud, en prenant en charge l’immutabilité et en permettant une restauration vérifiée grâce à des fonctionnalités telles que SureBackup. Cela garantit que les sauvegardes ne sont pas seulement protégées, mais aussi restaurables et fiables.

Object First complète Veeam en fournissant un stockage de sauvegarde sur site, conçu à cet effet, spécifiquement pensé pour les charges de travail Veeam. Avec Absolute Immuabilité, Object First garantit que les données de sauvegarde ne peuvent pas être modifiées ni supprimées — même par les administrateurs les plus privilégiés ou par des attaquants disposant d’un accès au stockage de sauvegarde. Pour la copie hors site, Veeam Data Cloud Vault propose un stockage hors site sécurisé et géré, qui simplifie la mise à l’échelle et la maîtrise des coûts.

Ensemble, ces solutions forment une architecture 3-2-1-1-0 résiliente et hautement performante, qui permet une restauration rapide, une intégrité vérifiée et une forte résistance face aux cyberattaques modernes.

Téléchargez la fiche technique et découvrez pourquoi Veeam et Object First sont vos partenaires idéaux pour Résilience des données.

 

Referenses: 

[1] Object First. "Object First Survey: 89 Percent of IT Leaders Fear AI-Powered Cyberattacks Will Cost Them Their Data." 2026. https://objectfirst.com/newsroom/press-releases/object-first-survey-89-percent-of-it-leaders-fear-ai-powered-cyberattacks-will-cost-them-their-data/ 

[2] Veeam. "3-2-1 Backup Rule Explained." 2024. https://www.veeam.com/blog/321-backup-rule.html 

[3] Object First. "Object First + Veeam Data Cloud Vault = 3-2-1 Backup." Solution brief. 2025. https://objectfirst.com/uploads/resources/solution-briefs/Veeam_Data_Coud_Vault_Ootbi_3-2-1_Backup.pdf 

Guides connexes

Voir tout