Sauvegarde Microsoft 365 : pourquoi OneDrive ne suffit pas
6 juin 2026
Microsoft 365 est l'écosystème de travail le plus utilisé en entreprise. Outlook pour les emails, OneDrive pour le stockage, SharePoint pour la collaboration, Teams pour la communication. C'est fiable, c'est intégré, et c'est disponible partout.
Cette fiabilité crée pourtant un faux sentiment de sécurité. Beaucoup de dirigeants pensent que « puisque tout est chez Microsoft, tout est protégé ». La synchronisation permanente offerte par OneDrive ou SharePoint ne constitue en aucun cas une sauvegarde.
Une erreur. Un clic. Un malware.
Microsoft protège son infrastructure. La protection de vos données reste votre responsabilité. C'est écrit noir sur blanc dans ses conditions d'utilisation — et la distinction a des conséquences très concrètes pour qui doit assurer une réelle sauvegarde Microsoft 365.
Le modèle de responsabilité partagée de Microsoft
Les contrats de licence cloud reposent sur un cadre précis : le modèle de responsabilité partagée (Shared Responsibility Model). Il distingue les obligations du fournisseur (sous-traitant au sens du RGPD) de celles de l'organisation cliente (responsable de traitement).
Le rôle de Microsoft se limite à garantir la disponibilité de l'infrastructure : haute disponibilité des datacenters, réplication géographique, tolérance aux pannes matérielles. En revanche, le client reste l'unique propriétaire de ses données. La sécurisation des accès, la gouvernance de la conformité et la sauvegarde opérationnelle lui incombent entièrement. Microsoft recommande d'ailleurs explicitement de sauvegarder le contenu stocké sur ses services, ou de le conserver à l'aide d'applications et de services tiers.
| Domaine | Responsabilité de Microsoft | Responsabilité de l'entreprise |
|---|---|---|
| Infrastructure physique | Serveurs, réseau, datacenters | Aucune |
| Disponibilité du service | Garantie de disponibilité (SLA), réplication matérielle | Configuration des accès logiques |
| Données utilisateur | Aucune (hébergement technique uniquement) | Intégrité, archivage, conformité, sauvegarde externe |
| Gestion des identités | Fourniture des outils (Microsoft Entra ID) | Activation du MFA, gestion des privilèges |
| Conformité réglementaire | Certification de la plateforme (ISO 27001, SOC 2) | RGPD, Code de commerce, obligations sectorielles |
Pourquoi la rétention native ne remplace pas une sauvegarde Microsoft 365
De nombreuses organisations confondent la corbeille temporaire et le versionnage automatique avec une véritable politique de sauvegarde. La rétention native de Microsoft 365 est limitée dans le temps et ne couvre pas les sinistres complexes.
Les limites de OneDrive et SharePoint
Un fichier supprimé passe par la corbeille de premier niveau, puis de second niveau. Le délai de rétention cumulé est de 93 jours pour les comptes professionnels. Passé ce délai, la donnée est purgée définitivement des serveurs de Microsoft.
| Application | Élément | Rétention par défaut | Après expiration |
|---|---|---|---|
| OneDrive / SharePoint | Fichiers supprimés (corbeilles 1er + 2nd niveau) | 93 jours au total | Suppression définitive |
| OneDrive / SharePoint | Historique des versions | 500 versions par défaut | Écrasement des plus anciennes |
| Exchange Online | Emails supprimés (éléments récupérables) | 14 jours (extensible à 30 par l'admin) | Suppression définitive |
| Exchange Online | Boîte d'un compte supprimé | 30 jours (soft delete) | Destruction de la boîte |
| Microsoft Teams | Enregistrements de réunion | 120 jours par défaut | Déplacés vers la corbeille OneDrive/SharePoint |
| Microsoft Teams | Messages de canaux supprimés | Non récupérables par l'utilisateur | Perte définitive |
93 jours semblent confortables ? Les chiffres réels d'intrusion racontent une autre histoire. Selon le rapport IBM Cost of a Data Breach 2025, le cycle de vie moyen d'une violation de données atteint 241 jours. Une violation contenue en moins de 200 jours coûte en moyenne 3,61 M$, contre 5,49 M$ au-delà. Autrement dit, lorsqu'une altération ou une suppression de fichiers est enfin détectée, les 93 jours de rétention native sont très largement dépassés — la récupération native devient techniquement impossible.
L'outil de conformité Microsoft Purview (ex-Microsoft 365 Compliance) ne résout pas le problème. Conçu pour l'archivage légal et l'e-discovery, il est complexe et lent à mobiliser lors d'un sinistre, et dépend de licences haut de gamme souvent hors budget pour une PME. Comme Google Vault, c'est un outil de conformité, pas de restauration opérationnelle rapide.
Les scénarios de perte de données spécifiques à Microsoft 365
L'analyse des incidents rencontrés par les PME françaises fait ressortir quelques vecteurs récurrents liés aux outils collaboratifs cloud.
Scénario 1 — Thomas, le stagiaire et le ransomware via OneDrive
Thomas, stagiaire marketing, reçoit un email d'hameçonnage imitant une facture fournisseur. Le phishing reste le premier vecteur d'attaque (60 % des entreprises touchées selon le CESIN, 16 % des violations mondiales selon IBM). Il ouvre la pièce jointe : un rançongiciel chiffre son disque local. Le client de synchronisation OneDrive détecte les modifications et propage instantanément les fichiers chiffrés vers le cloud, écrasant les fichiers sains du dossier partagé de l'équipe. La restauration manuelle, fichier par fichier, via l'interface OneDrive devient un défi logistique — l'activité commerciale est paralysée.
Scénario 2 — Nicolas, le départ conflictuel d'un commercial
Nicolas, ingénieur commercial senior, quitte l'entreprise dans un contexte tendu. Pour récupérer la licence, Sophie, la responsable informatique, supprime aussitôt son compte Microsoft 365. La boîte Exchange et l'espace OneDrive entrent en suppression temporaire de 30 jours. Deux mois plus tard, un litige éclate avec un client historique : la direction a besoin des échanges et des propositions tarifaires stockés sur le OneDrive de Nicolas. Le délai de 30 jours est expiré — les documents stratégiques ont été purgés définitivement.
Scénario 3 — Marc, l'erreur d'administration PowerShell
Microsoft 365 s'administre largement en PowerShell. C'est puissant, et dangereux. Pour automatiser le nettoyage des comptes inactifs, Marc, administrateur externe, exécute un script comportant une erreur dans la variable de ciblage. En quelques secondes, des espaces SharePoint partagés essentiels sont supprimés. Les fichiers restent théoriquement dans la corbeille 93 jours, mais la structure de dossiers et les permissions associées à des milliers de documents sont altérées : le travail des équipes est bloqué plusieurs jours.
Scénario 4 — L'intrusion via un prestataire compromis
Un éditeur de logiciel utilisé par l'entreprise subit une intrusion. L'ANSSI souligne que les prestataires de services servent fréquemment de point d'entrée vers leurs clients finaux. Via les accès d'intégration de l'éditeur, un acteur malveillant atteint le tenant Microsoft 365 de la PME. Disposant de droits délégués, il chiffre les données SharePoint et OneDrive, puis vide la corbeille de second niveau pour empêcher toute restauration native. Sans sauvegarde externe, isolée de l'environnement de production, la perte des données est immédiate et totale.
L'impact business : obligations financières et réglementaires
Une perte de données n'est pas qu'un incident technique. Elle a un coût et des conséquences juridiques directes.
| Indicateur | Valeur | Source |
|---|---|---|
| Rançongiciels visant les PME/TPE/ETI | 37 % des victimes connues en 2024 | ANSSI, Panorama de la cybermenace 2024 |
| Attaques par rançongiciel traitées en France | 144 en 2024 (143 en 2023) | ANSSI, Panorama 2024 |
| Phishing comme vecteur d'attaque | 60 % des entreprises touchées | CESIN, 10ᵉ baromètre (2025) |
| Coût moyen d'une cyberattaque réussie (France) | ≈ 59 000 € (rançon moyenne 25 700 €) | Asterès / CRIP (2023) |
| Coût moyen mondial d'une violation de données | 4,44 M$ | IBM Cost of a Data Breach 2025 |
| Cycle de vie moyen d'une violation | 241 jours | IBM Cost of a Data Breach 2025 |
Sur le plan réglementaire, l'absence de sauvegarde expose directement le dirigeant :
- Code de commerce, article L123-22 : les documents comptables et pièces justificatives doivent être conservés 10 ans à compter de la clôture de l'exercice. Une perte de ces pièces par ransomware non sauvegardé place l'entreprise en infraction vis-à-vis de l'administration fiscale.
- RGPD, article 32 : le responsable de traitement doit mettre en œuvre les mesures garantissant la sécurité des données personnelles, dont « la capacité à rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident » (§1, point c). Un défaut de sauvegarde constitue un manquement direct à cette obligation, passible de sanctions de la CNIL.
Comment protéger vos données Microsoft 365
Pour combler les limites de la rétention native, l'architecture de sauvegarde doit reposer sur des standards éprouvés. La règle de référence 3-2-1, recommandée par l'ANSSI et la CNIL, en est la pierre angulaire.
- 3 copies des données : la donnée de production (dans Microsoft 365) et au moins deux copies de sauvegarde distinctes.
- 2 supports différents : des technologies indépendantes, par exemple un stockage cloud souverain et une réplication sur un cloud d'un autre fournisseur.
- 1 copie isolée : au moins une copie logiquement coupée du réseau de production, idéalement dotée d'une inaltérabilité stricte contre les ransomwares.
Une sauvegarde tierce digne de ce nom doit également :
- couvrir tout l'écosystème : Outlook (emails, contacts, calendriers), OneDrive, SharePoint et les fichiers Teams (stockés dans SharePoint) ;
- fonctionner automatiquement, sans geste manuel quotidien ;
- conserver un historique au-delà de 93 jours (idéalement un an) ;
- permettre une restauration granulaire : un email, un fichier, un dossier ou un compte entier ;
- stocker les données sur une infrastructure indépendante de Microsoft.
En parallèle, trois mesures de sécurité restent indispensables :
- MFA obligatoire sur tous les comptes, en priorité les comptes d'administration — sans aucune exception.
- Principe du moindre privilège : des comptes admin dédiés, jamais utilisés pour la navigation ou les emails quotidiens, et au moins deux administrateurs pour éviter un point de défaillance unique.
- Tests de restauration réguliers : une sauvegarde non testée n'offre aucune garantie. Mener un test trimestriel sur un échantillon aléatoire de boîtes Outlook et d'espaces SharePoint valide réellement la reprise d'activité.
Bonne nouvelle : les solutions modernes de sauvegarde automatisée rendent ces mesures accessibles sans ressources techniques internes démesurées. Un déploiement rapide et un tableau de bord centralisé suffisent à mettre une PME à l'abri.
Checklist d'auto-évaluation pour les dirigeants
Pour mesurer la maturité de votre organisation face au risque de perte de données sur Microsoft 365 :
- Vos données OneDrive, SharePoint et Exchange sont-elles copiées automatiquement sur une infrastructure totalement indépendante de Microsoft ?
- Êtes-vous capable de restaurer un document supprimé il y a plus de six mois ?
- Un test de restauration documenté est-il exécuté et validé au moins deux fois par an ?
- Les OneDrive des collaborateurs partis depuis plus de 30 jours restent-ils accessibles à la direction en cas de litige ?
Si la réponse à l'une de ces questions est « non », votre patrimoine informationnel est exposé à un risque de perte définitive que les outils natifs de Microsoft 365 ne couvriront pas.
Comparatif : rétention native vs sauvegarde dédiée
| Scénario | Microsoft 365 natif | Avec sauvegarde tierce |
|---|---|---|
| Fichier supprimé il y a 60 jours | Récupérable (< 93 jours) | Récupérable |
| Fichier comptable supprimé il y a 6 mois | Perdu définitivement | Récupérable (conformité légale) |
| Compte d'un ancien commercial supprimé il y a 2 mois | Perdu (délai de 30 jours dépassé) | Données conservées indépendamment de la licence |
| Ransomware chiffrant OneDrive sur 50 postes | Restauration manuelle, poste par poste | Restauration centralisée à un point sain |
| Conformité légale (conservation 10 ans) | Nécessite Purview + licence haut de gamme | Rétention configurable |
| Site SharePoint corrompu | 93 jours maximum | Historique complet |
En résumé
Microsoft 365 est un outil de productivité exceptionnel. Mais la disponibilité de la plateforme ne garantit pas la sécurité de vos données. Les 93 jours de rétention et l'historique de versions ne couvrent pas tous les scénarios — et les outils de conformité Microsoft ne sont pas conçus pour une restauration opérationnelle rapide.
Pour une PME qui travaille au quotidien sur Microsoft 365, une sauvegarde tierce, externe et indépendante n'est pas un luxe. C'est une mesure de protection aussi fondamentale que l'authentification à deux facteurs ou la formation anti-phishing.
BackHub sauvegarde automatiquement vos comptes Microsoft 365 (OneDrive, Outlook, SharePoint), avec un chiffrement Zero-Knowledge et un hébergement en France. Vos données restent confidentielles — même nous ne pouvons pas les lire. Découvrir BackHub
BackHub protège les données cloud et PC des entreprises françaises. Sauvegarde automatique, chiffrement Zero-Knowledge, restauration en un clic.
En savoir plus →Articles connexes
Protégez vos données avec BackHub
Sauvegarde automatique de vos fichiers cloud et PC. Chiffrement Zero-Knowledge. Restauration en un clic.
Commencer maintenant