Sauvegardes PME : la restauration compte plus que la copie

Une sauvegarde qui ne se restaure pas ne protège pas l'entreprise

Beaucoup de PME pensent être protégées parce qu'elles ont des sauvegardes. C'est rassurant, mais insuffisant. Le jour d'un ransomware, d'une suppression accidentelle ou d'une panne serveur, la vraie question n'est pas seulement : "avons-nous une copie ?". La question décisive est : "combien de temps faut-il pour redémarrer l'activité avec des données fiables ?"

Cette nuance change tout. Une sauvegarde peut exister, mais être trop ancienne, incomplète, chiffrée par l'attaque, stockée au même endroit que le serveur compromis ou impossible à restaurer sans la personne qui connaît l'outil. Pour un dirigeant, le sujet n'est donc pas technique : c'est un sujet de chiffre d'affaires, de trésorerie, d'engagement client et de réputation.

Pourquoi les ransomware ciblent aussi les sauvegardes

Les attaquants savent que la sauvegarde est le principal obstacle au paiement d'une rançon. Leur objectif est donc souvent double : chiffrer les systèmes de production et neutraliser les copies de secours. Ils cherchent les consoles d'administration, les partages réseau, les comptes avec trop de droits, les NAS exposés, les sauvegardes synchronisées en continu et les mots de passe réutilisés.

Dans une petite structure, ce risque est fréquent parce que les sauvegardes ont été ajoutées progressivement, parfois sans architecture claire. Un prestataire a configuré un disque externe, un autre a ajouté une solution cloud, puis un serveur a été migré, un logiciel métier a changé et personne n'a repris la cartographie complète. L'entreprise croit avoir une protection globale alors qu'elle dépend en réalité de plusieurs mécanismes fragiles.

Le résultat peut être brutal : au moment de restaurer, certains fichiers reviennent, mais pas la base de données métier ; les documents sont récupérables, mais pas les droits d'accès ; le dernier export sain date de plusieurs jours ; ou la bande passante rend la récupération cloud beaucoup trop lente pour reprendre le lendemain matin.

Les deux indicateurs à connaître : RPO et RTO

Deux notions simples permettent de transformer le sujet en décision business.

Le RPO, ou objectif de point de reprise, correspond à la quantité de données que l'entreprise accepte de perdre. Si votre sauvegarde est quotidienne à 20 h et que l'incident se produit à 17 h, vous pouvez perdre presque une journée de travail. Pour un cabinet comptable en période fiscale, une plateforme e-commerce ou un atelier industriel, cette perte n'a pas le même impact.

Le RTO, ou objectif de temps de reprise, correspond au délai acceptable avant de redémarrer. Une entreprise peut accepter que des archives soient indisponibles pendant deux jours, mais pas que la facturation, la messagerie, l'ERP ou la production soient bloqués aussi longtemps. La bonne stratégie ne sauvegarde donc pas tout avec la même priorité : elle classe les systèmes selon leur criticité.

Ces deux indicateurs doivent être validés par la direction, pas uniquement par l'informatique. Ils traduisent un arbitrage clair : combien coûte une heure d'arrêt ? quelles données sont vitales ? quels clients faut-il servir en priorité ? quelles obligations contractuelles ou réglementaires s'appliquent ?

Les erreurs classiques dans les PME

La première erreur consiste à confondre synchronisation et sauvegarde. Un dossier synchronisé dans le cloud peut répliquer très vite une suppression, un chiffrement ou une erreur humaine. C'est pratique pour travailler, mais ce n'est pas toujours une sauvegarde avec historique, rétention et restauration granulaire.

La deuxième erreur est de garder toutes les copies accessibles depuis le même environnement. Si un compte administrateur compromis peut supprimer les sauvegardes, elles ne jouent plus leur rôle. Une copie isolée, non modifiable directement depuis le réseau principal, réduit fortement le risque.

La troisième erreur est de ne jamais tester. Une sauvegarde peut afficher un statut vert pendant des mois et échouer le jour où l'on en a besoin. Les causes sont nombreuses : fichier corrompu, licence expirée, procédure oubliée, dépendance manquante, espace insuffisant, version logicielle incompatible.

La quatrième erreur est de ne pas documenter. Si le responsable informatique est absent, si le prestataire n'est pas joignable ou si la crise survient le week-end, l'entreprise doit quand même savoir qui appeler, où sont les accès, quel ordre de restauration suivre et comment vérifier que les données récupérées sont saines.

La règle 3-2-1 reste utile, mais doit être adaptée

La règle 3-2-1 recommande de disposer de trois copies des données, sur deux supports différents, dont une copie hors site. C'est un bon point de départ, mais il faut l'adapter aux usages actuels : applications SaaS, postes nomades, serveurs hébergés, messagerie cloud, ERP externalisé, données réparties entre plusieurs outils.

Pour une PME, l'objectif n'est pas d'accumuler les solutions. L'objectif est de couvrir les données critiques avec une logique cohérente : une copie de production, une sauvegarde régulière, une copie isolée ou immuable, une rétention suffisante pour revenir avant l'attaque, et une procédure de restauration priorisée.

Il faut aussi penser aux comptes. Si la solution de sauvegarde dépend d'un seul compte administrateur sans MFA, l'ensemble devient vulnérable. Si les notifications d'échec arrivent dans une boîte email non surveillée, les sauvegardes peuvent être arrêtées depuis des semaines sans que personne ne le voie.

Ce qu'il faut tester avant l'incident

Un test de restauration n'a pas besoin d'être spectaculaire. Il peut commencer simplement : restaurer un fichier récent, restaurer un fichier ancien, récupérer une boîte email, remonter une base de données de test, vérifier le temps nécessaire, contrôler les droits et documenter les étapes.

Ensuite, l'entreprise peut organiser un exercice plus proche de la réalité : "si notre serveur principal est indisponible demain matin, que faisons-nous ?". Cet exercice révèle souvent des dépendances cachées : mot de passe stocké sur le serveur indisponible, documentation dans le même partage réseau, prestataire unique, sauvegarde trop lente, absence de poste de secours, impossibilité d'accéder à certains outils sans VPN.

Ces tests ont une valeur immédiate. Ils permettent de corriger avant la crise, de mieux répondre aux questionnaires d'assurance cyber et de rassurer les clients importants lorsqu'ils demandent des garanties de continuité.

Une checklist dirigeant pour réduire le risque

Un dirigeant n'a pas besoin de connaître tous les détails techniques, mais il doit pouvoir obtenir des réponses claires :

• quelles données sont considérées comme critiques pour l'activité ?
• à quelle fréquence sont-elles sauvegardées ?
• combien d'heures ou de jours de données pouvons-nous perdre ?
• combien de temps faut-il pour restaurer les systèmes prioritaires ?
• une copie est-elle isolée, immuable ou hors site ?
• les accès à la console de sauvegarde sont-ils protégés par MFA ?
• les sauvegardes couvrent-elles aussi les outils cloud et SaaS ?
• quand a eu lieu le dernier test de restauration réussi ?
• qui pilote la reprise si l'incident survient hors horaires ouvrés ?
• où se trouve la procédure si le réseau interne est indisponible ?

Si certaines réponses sont floues, ce n'est pas un échec. C'est précisément le signal qu'un état des lieux est nécessaire.

Le lien avec l'exposition externe

Les sauvegardes ne doivent pas être vues isolément. Elles complètent d'autres mesures : MFA, mises à jour, segmentation, protection email, filtrage des accès distants et surveillance de la surface exposée sur Internet. Un accès VPN oublié, un service d'administration visible publiquement ou un domaine email mal configuré peut être le point d'entrée de l'attaque qui testera vos sauvegardes dans les pires conditions.

C'est pourquoi un audit externe est utile même pour parler de continuité d'activité. Il permet d'identifier les signaux visibles depuis Internet : services exposés, sous-domaines oubliés, certificats, configuration email, technologies détectables et erreurs qui facilitent une intrusion. Réduire ces portes d'entrée diminue la probabilité d'avoir à restaurer dans l'urgence.

Conclusion

Une bonne sauvegarde n'est pas une case cochée. C'est une capacité de reprise mesurable, testée et comprise par l'entreprise. Pour une PME, la priorité est de savoir quelles données sauver, combien de temps l'activité peut attendre et quelles preuves existent réellement.

EuroPrompt propose un audit cybersécurité externe gratuit pour aider les PME à repérer leurs points d'exposition visibles et à prioriser les actions utiles. Si vous voulez vérifier vos risques avant qu'un incident ne teste vos sauvegardes à votre place, demandez votre audit gratuit.