Sauvegarde immuable, une solution contre les cyberattaques

En bref

Une sauvegarde classique accessible depuis le réseau de production partage la même surface d’attaque que vos serveurs.
Les ransomwares ciblent les sauvegardes en priorité, avant de chiffrer la production.
Une sauvegarde immuable ne peut être ni modifiée, ni supprimée, ni chiffrée, même par un compte administrateur compromis.
La règle 3-2-1-1 impose qu’au moins une copie soit immuable pour garantir une restauration fiable.
Des tests de restauration réguliers sont indispensables pour valider l’efficacité réelle du dispositif.

Vous avez des sauvegardes. Elles tournent la nuit, les rapports sont au vert, et vous savez que vous pourriez récupérer vos données en cas de problème. Cette certitude est rassurante, et c’est précisément là que réside le risque.

La sauvegarde immuable n’est pas un nouveau produit marketing. C’est une réponse à un constat technique que de nombreuses organisations découvrent trop tard : une sauvegarde classique, même bien configurée, peut être rendue inutilisable par un ransomware en quelques heures. Et quand les attaquants s’en prennent à vos sauvegardes avant de chiffrer votre production, la reprise d’activité devient une opération de crise plutôt qu’une procédure maîtrisée.

Ce que votre sauvegarde classique ne peut pas garantir

Bien que les sauvegardes régulières soient un excellent moyen de se prémunir contre les ransomwares, elles présentent une vulnérabilité. En effet, si les sauvegardes ne sont pas correctement isolées du réseau principal, elles peuvent être infectées par le ransomware et devenir inutilisables. Selon un rapport de Veeam, 51% des entreprises ont subi une attaque de ransomware ayant ciblé leurs sauvegardes.

La solution de l’immuabilité

Une sauvegarde traditionnelle repose sur un principe simple : copier régulièrement vos données vers un espace de stockage distinct. En théorie, si vos fichiers de production sont corrompus ou chiffrés, vous restaurez depuis la dernière copie valide et reprenez votre activité.

Ce modèle a deux limites majeures dans le contexte actuel.

La première concerne l’accessibilité des sauvegardes.

Si vos copies sont accessibles depuis le réseau de production (un partage réseau, un espace NAS connecté, un agent de sauvegarde avec des droits en écriture), elles partagent la même surface d’attaque que vos serveurs. Un ransomware qui compromet un compte administrateur peut identifier vos sauvegardes, les chiffrer ou les supprimer avant même de toucher à la production. Dans ce cas, vous ne découvrez l’étendue du problème qu’au moment de tenter la restauration.

La seconde concerne la fenêtre de restauration.

Même en supposant que vos sauvegardes sont intactes, restaurer plusieurs téraoctets de données sur des dizaines de serveurs prend du temps. Ce délai, rarement simulé en conditions réelles, peut représenter plusieurs jours d’indisponibilité pour les systèmes les plus critiques. La sauvegarde existait, mais elle ne garantissait pas la continuité d’activité dans un délai acceptable.

Comment les ransomwares ciblent vos sauvegardes en priorité

Les groupes ransomware ont évolué. Les attaques d’aujourd’hui sont rarement automatisées de bout en bout. Dans de nombreux cas documentés par des équipes de réponse à incident, des attaquants passent plusieurs semaines à cartographier le réseau d’une organisation avant de déclencher le chiffrement. Pendant cette phase silencieuse, ils identifient les solutions de sauvegarde en place, les plannings de rétention, et les comptes de service associés.

L’objectif est de s’assurer qu’au moment de l’attaque, les victimes n’aient plus de filet de sécurité. L’ANSSI le confirme dans son Panorama de la cybermenace 2024 : le ransomware reste la menace la plus répandue contre les organisations françaises, et les attaquants ciblent désormais systématiquement les dispositifs de sauvegarde avant de chiffrer la production.

Ce constat change la façon dont il faut penser la sauvegarde : non plus comme une procédure technique périphérique, mais comme une cible à protéger au même titre que votre infrastructure de production.

Qu’est-ce qu’une sauvegarde immuable, concrètement ?

Une sauvegarde immuable est une copie de données qui ne peut pas être modifiée, chiffrée ou supprimée pendant une période définie, par aucun compte, y compris les comptes administrateurs.

Le principe repose sur une propriété appelée WORM (Write Once, Read Many). Une fois qu’une sauvegarde est écrite sur un support WORM, son contenu est verrouillé jusqu’à expiration de la période de rétention. Aucune commande de suppression, aucune compromission de compte, aucun accès au niveau du système d’exploitation ne peut altérer cette copie pendant la fenêtre de protection.

Trois technologies principales permettent d’implémenter cette propriété :

Object Lock S3 : cette fonctionnalité du stockage objet verrouille les fichiers pendant une période définie. Même un administrateur ne peut supprimer ou modifier les données avant la fin de la période de rétention. Particulièrement adapté aux sauvegardes quotidiennes en environnement cloud ou hybride.

WORM physique : des supports (bandes magnétiques, disques optiques) sur lesquels les données ne peuvent être écrites qu’une seule fois. Solution privilégiée pour l’archivage long terme et les obligations de conformité réglementaire strictes.

Snapshots verrouillés : les hyperviseurs modernes (VMware vSphere, Proxmox VE) proposent des snapshots avec verrouillage temporel. Ces copies instantanées de machines virtuelles sont protégées contre toute suppression pendant la période configurée, particulièrement adaptées aux environnements virtualisés avec des RPO courts.

Le point commun de ces trois approches : même un attaquant disposant de droits administrateurs complets sur votre infrastructure ne peut pas altérer les copies pendant la fenêtre de protection.

La règle 3-2-1-1 : l’évolution d’un standard éprouvé

La règle 3-2-1 est connue des équipes infrastructure depuis des années : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Elle reste une bonne base, mais elle ne répond plus aux menaces actuelles à elle seule.

Cette règle ajoute un quatrième critère : 1 copie immuable, c’est-à-dire physiquement ou logiquement isolée et protégée contre toute modification.

Ce quatrième niveau garantit qu’il existera toujours au moins une copie que l’attaquant ne peut pas atteindre, quelles que soient les permissions dont il dispose. C’est cette copie qui permet une reprise d’activité même dans les scénarios les plus défavorables.

Pour les organisations soumises à des obligations de continuité (établissements de santé sous cadre HDS, acteurs financiers, opérateurs de services essentiels visés par NIS 2), ce niveau de protection est désormais explicitement recommandé par l’ANSSI.

RTO, RPO : ce que la sauvegarde immuable préserve réellement

Deux métriques définissent la qualité d’un plan de reprise : le RPO (Recovery Point Objective, la quantité maximale de données que vous pouvez vous permettre de perdre) et le RTO (Recovery Time Objective, le délai maximum acceptable avant retour à la normale).

Une sauvegarde immuable ne modifie pas en elle-même vos délais de restauration. Ce qui change, c’est la certitude que les copies sur lesquelles vous comptez seront effectivement disponibles le jour J. Une organisation qui dispose de sauvegardes immuables peut s’engager sur un RTO de 4 heures avec une bien plus grande fiabilité qu’une organisation dont les sauvegardes classiques auraient pu être compromises.

C’est cette garantie de disponibilité du point de restauration qui constitue l’apport principal de l’immuabilité dans une stratégie de continuité d’activité.

Ce qu’il faut examiner avant de faire évoluer votre architecture

Si vous envisagez d’intégrer la sauvegarde immuable dans votre infrastructure, voici les points à évaluer en priorité. Hébergeur souverain certifié ISO 27001 et HDS, SdV accompagne ses clients dans l’audit et la mise en place de leur architecture de sauvegarde, en environnement cloud souverain ou hybride.

La couverture de vos systèmes critiques. Tous vos actifs n’ont pas la même valeur opérationnelle. Commencez par identifier les systèmes dont l’indisponibilité prolongée aurait un impact métier significatif (ERP, messagerie, outils de production, bases de données clients). Ce sont eux qui méritent en premier une protection par copie immuable.

La localisation des sauvegardes.

Une copie immuable stockée sur le même site que votre production reste vulnérable à un sinistre physique. L’immuabilité protège contre la compromission logique ; elle ne remplace pas la nécessité d’une copie géographiquement distante.

La fréquence et la durée de rétention.

L’immuabilité implique de définir à l’avance la durée pendant laquelle une copie est protégée. Cette durée doit correspondre à votre politique de rétention et à vos obligations réglementaires. Une rétention trop courte peut laisser passer une infection qui se propage lentement avant de se manifester.

La testabilité de vos restaurations.

Une sauvegarde immuable non testée reste une incertitude. Les tests de restauration réguliers, sur des environnements isolés, sont la seule façon de valider que vos copies sont réellement exploitables dans les délais prévus.

La compatibilité avec votre infrastructure existante.

Les principales solutions du marché (Veeam, Commvault, Acronis, Rubrik) intègrent aujourd’hui des mécanismes d’immuabilité. Selon votre existant, l’évolution peut être incrémentale plutôt que nécessiter une refonte complète.

La sauvegarde immuable ne remplace pas une politique de sauvegarde rigoureuse. Elle en renforce la fiabilité au point le plus vulnérable : la disponibilité des copies au moment où vous en avez le plus besoin.

Si vos sauvegardes actuelles sont accessibles depuis votre réseau de production, elles partagent sa surface d’attaque. C’est un risque qui mérite d’être évalué sérieusement, avant qu’un incident ne le fasse à votre place.

Nous pouvons vous aider à mettre en place
la sécurisation de vos données

contactez-nous

FAQ sur la sauvegarde immuable…

Une sauvegarde immuable est une copie de données qui ne peut être ni modifiée, ni supprimée, ni chiffrée pendant une période définie, y compris par un compte administrateur. Elle repose sur des mécanismes comme l’Object Lock S3, les supports WORM ou les snapshots verrouillés, et constitue la dernière ligne de défense fiable en cas d’attaque ransomware.

Si vos sauvegardes sont accessibles depuis le réseau de production, elles partagent la même surface d’attaque que vos serveurs. L’ANSSI le confirme dans son Panorama de la cybermenace 2024 : le ransomware reste la menace la plus répandue contre les organisations françaises, et les attaquants ciblent désormais systématiquement les dispositifs de sauvegarde avant de chiffrer la production. Une sauvegarde classique, même régulière, peut être chiffrée ou supprimée avant que vous n’ayez le temps d’agir.

La règle 3-2-1-1 est une évolution du standard 3-2-1 (3 copies, 2 supports, 1 hors site). Le quatrième critère impose qu’au moins une copie soit immuable, c’est-à-dire protégée contre toute modification ou suppression, même par un attaquant disposant de droits administrateurs. C’est cette copie qui garantit une reprise d’activité même dans les scénarios de compromission les plus étendus.

Trois technologies principales existent : l’Object Lock S3 (idéal pour le cloud et les environnements hybrides), les supports WORM physiques (bandes, disques optiques, pour l’archivage long terme), et les snapshots verrouillés sur hyperviseur (VMware, Proxmox, pour les environnements virtualisés). Le choix dépend de votre infrastructure existante, de vos objectifs de RPO/RTO et de vos obligations réglementaires.

La seule façon de valider une sauvegarde immuable est de tester régulièrement la restauration sur un environnement isolé. Ces tests permettent de vérifier que les copies sont bien intactes, que les délais de restauration correspondent à votre RTO cible, et qu’aucune dégradation silencieuse n’est intervenue. Un audit de votre architecture de sauvegarde peut également identifier les points de vulnérabilité avant un incident.

🚀 À lire aussi :

Cookie	Durée	Description
__cf_bm	30 minutes	Cloudflare set the cookie to support Cloudflare Bot Management.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
mc_session_ids[default]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][0]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][1]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][2]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][3]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][4]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

Cookie	Durée	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_ga_B550XRC7BX	2 years	This cookie is installed by Google Analytics.
_ga_SP13N2JHZT	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gat_gtag_UA_22524725_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.

Cookie	Durée	Description
__Secure-BUCKET	6 months	Description is currently not available.
_ga_V3TLWZ0JHD	2 years	No description
_gat_UA-22524725-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-others	1 year	No description
li_gc	2 years	No description
muc_ads	2 years	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wc_session_ids[default]	8 minutes	No description
wc_session_ids[multi][0]	8 minutes	No description
wc_session_ids[multi][1]	8 minutes	No description
wc_session_ids[multi][2]	8 minutes	No description
wc_session_ids[multi][3]	8 minutes	No description
wc_session_ids[multi][4]	8 minutes	No description

Votre sauvegarde est-elle vraiment prête pour une attaque ransomware ?

En bref

Ce que votre sauvegarde classique ne peut pas garantir

La solution de l’immuabilité

Ce modèle a deux limites majeures dans le contexte actuel.

Comment les ransomwares ciblent vos sauvegardes en priorité

Qu’est-ce qu’une sauvegarde immuable, concrètement ?

La règle 3-2-1-1 : l’évolution d’un standard éprouvé

RTO, RPO : ce que la sauvegarde immuable préserve réellement

Ce qu’il faut examiner avant de faire évoluer votre architecture

FAQ sur la sauvegarde immuable…

Qu’est-ce qu’une sauvegarde immuable ?

Pourquoi une sauvegarde classique ne suffit-elle plus face aux ransomwares ?

Qu’est-ce que la règle 3-2-1-1 en matière de sauvegarde ?

Quelle technologie choisir pour mettre en place une sauvegarde immuable ?

Comment tester l’efficacité de ma sauvegarde immuable ?

Dans cet article

Un projet ou une question ?