Guides 9 min de lecture

Règle de sauvegarde 3-2-1 : le guide pratique pour les PME

5 avril 2026

En décembre 2024, l'hébergeur Coaxis subit une cyberattaque massive. Plus de 1 200 cabinets d'expertise comptable se retrouvent paralysés. 350 000 entreprises clientes impactées. Des semaines de fiches de paie, de déclarations fiscales et de bilans inaccessibles.

L'attaque n'avait rien d'exceptionnel. Ce qui a transformé un incident technique en catastrophe économique, c'est l'absence de sauvegardes externalisées et testées.

La méthode pour éviter ce scénario existe depuis des années. Elle tient en trois chiffres : 3-2-1.

La règle 3-2-1 expliquée

3 copies de vos données

Vous devez disposer de trois exemplaires de chaque donnée importante :

L'original : vos fichiers de travail, sur vos postes ou dans le cloud (Google Drive, OneDrive, etc.)
Une première sauvegarde : une copie sur un support local (disque dur externe, NAS)
Une deuxième sauvegarde : une copie sur un support distant (cloud de sauvegarde, datacenter)

Pourquoi trois ? Parce que la probabilité que deux supports tombent en panne simultanément est faible. Mais elle n'est pas nulle. Avec trois copies, le risque de perte totale devient statistiquement négligeable.

2 supports différents

Les trois copies doivent être réparties sur au moins deux types de supports physiques distincts :

Disque dur de votre ordinateur + disque dur externe USB
Serveur de fichiers interne + stockage cloud
SSD de votre poste + NAS de l'entreprise

L'idée est d'éviter qu'une même défaillance (panne matérielle, surtension, vol) détruise toutes vos copies d'un coup.

Un piège fréquent : copier des fichiers de votre ordinateur vers un disque dur externe rangé dans le même bureau ne constitue pas un vrai deuxième support si les deux sont exposés au même risque physique (incendie, inondation, vol).

1 copie hors site

Au moins une de vos sauvegardes doit se trouver dans un lieu géographiquement séparé de vos locaux. C'est cette copie qui vous protège contre les sinistres physiques.

Les options courantes :

Sauvegarde cloud : la solution la plus simple pour les PME. Automatique, sans matériel à gérer.
Coffre-fort bancaire : pour les données critiques sur support physique chiffré. Contraignant mais robuste.
Site secondaire : un datacenter distant. Adapté aux entreprises multi-sites.

Pourquoi les protections natives de vos outils cloud ne suffisent pas

Google Drive, OneDrive et Dropbox offrent des filets de sécurité — mais ils sont bien plus limités qu'on ne le croit.

Protection native	Limitation réelle
Corbeille Google Workspace	Vidée automatiquement après 30 jours. Un admin peut la purger à tout moment.
Google Vault	Payant (supplément par utilisateur). Nécessite une licence spécifique. Beaucoup de PME ne l'activent jamais.
Historique des versions OneDrive	Limité à 30 jours ou 500 versions. Un ransomware qui chiffre les fichiers 500 fois épuise cet historique en quelques minutes.
Corbeille OneDrive	93 jours maximum. Vidée définitivement ensuite — sans possibilité de récupération.
Rétention Dropbox	30 jours sur le plan Standard. 180 jours uniquement sur le plan le plus cher.

Comparaison entre la synchronisation cloud qui propage les suppressions comme un miroir et la vraie sauvegarde qui conserve les données dans un coffre versionné

Ces outils synchronisent vos fichiers — ils ne les sauvegardent pas. Une suppression accidentelle, un ransomware ou une compromission de compte se propage instantanément sur tous les appareils connectés (voir notre article Synchronisation vs sauvegarde : la confusion qui met votre entreprise en danger).

Ce que disent les chiffres

Les données récentes ne laissent pas de place au doute :

77 % des cyberattaques traitées par l'ANSSI en 2025 visent les TPE et PME (ANSSI, Panorama de la cybermenace 2025)
466 000 € : coût moyen d'une cyberattaque pour une PME française (France Num / Sénat, 2024)
60 % des PME victimes déposent le bilan dans les 18 mois suivant une attaque majeure (MEDEF / CCI France, 2024)
63 % des victimes de ransomware refusent désormais de payer la rançon — mais sans sauvegarde externalisée, refuser signifie tout perdre (IBM, Cost of a Data Breach 2025)

Les PME sont ciblées parce qu'elles détiennent des données exploitables (fichiers clients, IBAN, contrats) tout en allouant des budgets de sécurité dérisoires. Près de 77 % d'entre elles y consacrent moins de 2 000 € par an (Sénat / ANSSI, 2024).

Même attaque, deux issues différentes

Prenons une PME industrielle de 80 salariés. Un commercial clique sur une pièce jointe piégée en déplacement. Le malware se propage, vole les identifiants administrateur et attend la nuit pour frapper.

Sans sauvegarde externalisée : à 3h du matin, l'attaquant formate le NAS de sauvegarde local (même réseau), puis chiffre tous les serveurs de production. Au matin, les écrans affichent une demande de rançon. La comptabilité, les commandes en cours, les contrats clients — tout est inaccessible. Sans copie hors site, la restauration est impossible. L'activité s'arrête pendant des semaines. Six mois plus tard, incapable d'absorber les pertes d'exploitation, l'entreprise est placée en liquidation.

Avec une sauvegarde 3-2-1-1-0 : même attaque, même NAS formaté, même production chiffrée. Mais une copie immuable est hébergée sur un cloud souverain, chiffrée avec des clés que l'attaquant ne possède pas. À 9h, l'équipe informatique isole le réseau, formate les serveurs compromis et lance la restauration depuis le cloud. À 18h, l'activité reprend. La CNIL, notifiée conformément à l'article 33, constate que des mesures techniques adéquates étaient en place. Aucune sanction.

La différence entre ces deux scénarios n'est ni la sophistication de l'attaque, ni la compétence de l'équipe IT. C'est la présence d'une copie hors site, immuable et testée.

L'obligation légale : vous êtes responsable de vos sauvegardes

Le RGPD n'est pas qu'une formalité. L'article 32 impose de garantir « la disponibilité et la résilience constantes des systèmes » et la capacité de « restaurer la disponibilité des données en cas d'incident ».

La CNIL l'interprète strictement. En janvier 2026, Free a écopé de 42 millions d'euros d'amende pour manquement à cet article après la fuite de 24 millions de dossiers clients (CNIL, décision du 27 janvier 2026). France Travail : 5 millions d'euros pour des mesures de sécurité insuffisantes. Et la CNIL cible aussi les PME : en 2025, 32 % des entités contrôlées étaient des petites et moyennes structures.

La directive NIS2, en cours de transposition, va plus loin : les grandes entreprises devront exiger des preuves de cybersécurité de leurs sous-traitants. Une PME incapable de documenter sa politique de sauvegarde risque de perdre ses contrats commerciaux.

L'évolution vers le 3-2-1-1-0

Les ransomwares modernes ciblent spécifiquement les sauvegardes. Le groupe Akira, par exemple, localise et détruit les consoles de sauvegarde et les clichés instantanés Windows (Shadow Copies) dans les premières heures après l'intrusion (Veeam, Data Protection Trends 2025).

La réponse : le paradigme 3-2-1-1-0.

3 copies
2 supports différents
1 copie hors site
1 copie immuable ou déconnectée — que même un administrateur compromis ne peut ni modifier, ni supprimer
0 erreur à la vérification — tester régulièrement que les sauvegardes sont restaurables

Le « 1 » supplémentaire est la réponse directe aux ransomwares. Pourtant, seules 28 % des entreprises utilisent des sauvegardes immuables (Veeam, 2025). Les 72 % restantes jouent à la roulette russe.

Comment appliquer la règle 3-2-1 concrètement

Étape 1 : identifier les données critiques

Toutes les données ne nécessitent pas le même niveau de protection :

Critiques (perte = impact majeur) : base clients, comptabilité, contrats, emails professionnels, propriété intellectuelle
Importantes (perte = gêne significative) : documents de travail, présentations, fichiers partagés
Secondaires (perte = désagrément) : fichiers temporaires, brouillons, anciennes versions

Concentrez vos efforts sur les deux premières catégories.

Étape 2 : choisir vos supports

Pour une PME de 10 à 50 employés :

Copie	Support	Rôle
Original	Google Workspace / Microsoft 365	Fichiers de travail au quotidien
Sauvegarde 1	NAS local ou disque externe	Restauration rapide, protection panne poste
Sauvegarde 2	Solution de sauvegarde cloud chiffrée	Protection incendie, vol, ransomware, obligation RGPD

Étape 3 : automatiser

La principale raison pour laquelle les sauvegardes échouent n'est pas technique — c'est humaine. La solution : l'automatisation complète.

Sauvegarde planifiée (quotidienne au minimum, horaire pour les données critiques)
Alertes automatiques en cas d'échec
Rapports périodiques sur l'état des sauvegardes
Rétention configurable (90 jours minimum pour les données d'entreprise)

Si votre sauvegarde dépend d'un geste humain quotidien, elle finira par être oubliée.

Étape 4 : chiffrer

Une sauvegarde non chiffrée est un risque supplémentaire. Le chiffrement doit intervenir avant l'envoi des données. Idéalement, avec des clés que vous seul détenez — c'est le principe du chiffrement Zero-Knowledge. Même votre prestataire ne peut pas lire vos données.

Étape 5 : tester la restauration

C'est l'étape que tout le monde néglige — et c'est la plus importante. Environ 60 % des organisations ayant subi une perte de données en 2024 ont constaté que leurs retards de reprise étaient imputables à des sauvegardes jamais testées (Veeam, Data Protection Trends 2025).

Au moins une fois par trimestre :

Choisissez un fichier ou un dossier au hasard
Lancez la restauration depuis votre sauvegarde
Vérifiez que le fichier restauré est complet et utilisable
Mesurez le temps de restauration

Si ça échoue, c'est maintenant qu'il faut le découvrir.

Checklist : votre PME applique-t-elle la règle 3-2-1 ?

[ ] Avez-vous trois copies de vos données critiques ?
[ ] Ces copies sont-elles sur deux supports physiquement différents ?
[ ] Au moins une copie est-elle hors de vos locaux ?
[ ] Cette copie hors site est-elle immuable (non modifiable par un ransomware) ?
[ ] Vos sauvegardes sont-elles automatisées (pas de geste manuel quotidien) ?
[ ] Vos sauvegardes sont-elles chiffrées avec des clés que vous détenez ?
[ ] Avez-vous testé une restauration au cours des 3 derniers mois ?
[ ] Sauvegardez-vous aussi les emails et les données cloud (pas uniquement les postes) ?

Si vous avez répondu « non » à plus de deux questions, vos données sont probablement insuffisamment protégées — et votre conformité RGPD est en question.

En résumé

Cinq menaces courantes pour les données d'entreprise — panne matérielle, ransomware, incendie, vol et suppression accidentelle — chacune contrée par la règle 3-2-1-1-0

Composant	Rôle	Ce qui se passe sans
3 copies	Résister aux pannes	Une seule défaillance = perte totale
2 supports	Résister aux sinistres matériels	Surtension, vol ou incendie = tout perdu
1 hors site	Résister aux sinistres physiques	Incendie de vos locaux = aucune récupération
1 immuable	Résister aux ransomwares	L'attaquant chiffre aussi vos sauvegardes
0 erreur	Garantir que ça fonctionne	Vous découvrez le problème le jour du sinistre

Le coût d'une sauvegarde structurée est dérisoire comparé aux 466 000 € que coûte en moyenne une cyberattaque à une PME. La règle 3-2-1 est le point de départ. Le 3-2-1-1-0 est la cible.

BackHub sauvegarde automatiquement vos comptes cloud et vos postes de travail. Vos données sont chiffrées avec des clés que vous seul détenez, stockées sur une infrastructure souveraine hébergée en France. La copie hors site immuable de votre règle 3-2-1-1-0, sans effort. Découvrir BackHub

BackHub protège les données cloud et PC des entreprises françaises. Sauvegarde automatique, chiffrement Zero-Knowledge, restauration en un clic.

En savoir plus →

Protégez vos données avec BackHub

Sauvegarde automatique de vos fichiers cloud et PC. Chiffrement Zero-Knowledge. Restauration en un clic.

Commencer maintenant