Vous avez entendu parler de la règle 3-2-1 en sauvegarde, mais vous ne savez pas vraiment comment l'appliquer à votre TPE ou PME ? Vous vous demandez si votre stratégie actuelle est suffisante ? Vous avez peur de perdre vos données critiques en cas d'attaque ransomware ou de panne matérielle ?
La règle 3-2-1 n'est pas une mode passagère. C'est un standard reconnu mondialement, recommandé par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et testé par les meilleurs responsables informatiques. En appliquant cette règle, vous bénéficiez d'une protection reconnue, adaptable à votre budget, et réellement efficace contre 99 % des sinistres.
La règle 3-2-1 s'énonce en trois points :
Exemple concret pour une boulangerie artisanale en Ardèche :
Résultat : même si le disque principal tombe en panne, le serveur subit une attaque ou l'office brûle, vos données restent intactes et récupérables.
Les menaces sur les données des TPE/PME ont explosé ces dernières années. Selon Cybermalveillance.gouv.fr, les attaques ransomware ont augmenté de 300 % en 2024-2025, touchant directement les petites structures qui pensent à tort ne pas être des cibles.
En Drôme et Ardèche, j'ai accompagné plusieurs artisans (menuisiers, plombiers, électriciens) et petits commerces qui ont perdu l'accès à leurs factures, devis ou historique client en quelques heures. Sans sauvegarde 3-2-1, la perte a été totale. Avec elle, le redémarrage a pris quelques jours au lieu de quelques semaines.
De plus, la conformité légale s'est durcie. La CNIL recommande explicitement une stratégie de sauvegarde robuste pour toute structure traitant des données personnelles. Une sauvegarde mal pensée expose votre TPE à des amendes et à une perte de confiance client.
Une sauvegarde manuelle ne sert à rien si vous oubliez de la déclencher. Configurez vos sauvegardes pour qu'elles se lancent tous les jours, tous les jours, à heures fixes. Idéalement la nuit (22h-2h) pour ne pas ralentir vos outils de travail.
Le chiffrement AES-256 doit être activé par défaut. Vos données sont sensibles (données clients, comptabilité, secrets commerciaux). Une sauvegarde non chiffrée tombée aux mains d'une tierce personne devient un désastre légal.
Nombreux sont les dirigeants qui découvrent que leur sauvegarde ne fonctionne pas... au moment du sinistre. Restaurez un fichier test une fois par mois. Vérifiez qu'il est intègre et complètement récupérable.
Si votre disque externe reste dans le même bureau que votre serveur principal, une inondation ou un incendie les détruit tous les deux. Le disque externe doit être stocké à domicile ou confié à un tiers. La copie hors-site (cloud) doit être chez un prestataire tiers, idéalement en France ou UE.
Écrivez noir sur blanc : quelles données sont sauvegardées ? Où ? À quelle fréquence ? Qui peut les restaurer en cas de besoin ? Cette documentation restera précieuse lors d'un changement de personnel IT ou lors d'un audit.
Les fichiers de sauvegarde peuvent se corrompre sans que vous le sachiez. Les outils modernes proposent des checksums ou des tests d'intégrité intégrés. Lancez-les régulièrement.
RPO = Recovery Point Objective (jusqu'où remontez-vous en cas de sinistre ?) ; RTO = Recovery Time Objective (combien de temps pour redémarrer ?). Pour une TPE, RPO de 24h et RTO de 48h sont généralement acceptables. Documentez-les et adaptez la fréquence de sauvegarde en fonction.
J'ai rencontré une agence immobilière à Valence qui avait 3 disques externes... tous rangés dans le même tiroir du bureau. Un vol, une inondation : tout était parti. Obligatoire d'avoir les supports dans des lieux différents.
Ranger une sauvegarde sur votre serveur NAS et une autre sur OneDrive ne respecte pas la règle 3-2-1 si le NAS et le serveur source sont au même endroit (risque de panne simultanée). Le cloud doit complémenter une redondance locale solide.
De nombreuses TPE pensent que Dropbox, Google Drive ou OneDrive remplacent une vraie stratégie 3-2-1. C'est faux. Le cloud est lent pour restaurer des dizaines de gigabits d'un coup, il peut avoir des pannes, et les délais de récupération sont longs. Synergique, oui. Suffisant seul, non.
Les logiciels de sauvegarde reçoivent des correctifs de sécurité régulièrement. Les négliger expose vos données à des failles connues exploitables par des ransomwares. Programmez les mises à jour automatiques.
Si votre infogérant part ou change, vous pouvez vous retrouver sans accès à vos sauvegardes. Conservez une copie de contrôle en interne (disque externe) avec les clés de chiffrement documentées et confiées à quelqu'un de votre structure.
Prix : 400-800 € TTC
Avantage : Stockage local automatisé, intégration facile, interface intuitive. Couvre les copies 1 et 2 de la règle 3-2-1.
Inconvénient : Nécessite maintenance (mise à jour, disques à remplacer).
Prix : 7 € par To/mois
Avantage : Hors-site, bon marché, API ouverte, excellent RPO. Couvre la copie 3 hors-site.
Inconvénient : Restauration en réseau (patience requise pour gros volumes).
Prix : Gratuit jusqu'à 10 sockets
Avantage : Granularité excellente (sauvegarde fichier-par-fichier ou VM entière), déduplication intégrée, interface pro.
Inconvénient : Courbe d'apprentissage plus raide pour les débutants.
Prix : Variable selon l'hébergeur (20-50 €/mois)
Avantage : Cloud souverain français/UE, accessible à distance par vos collaborateurs, dossiers partagés sécurisés.
Inconvénient : Nécessite un hébergement fiable (pas sur un vieux PC de garage).
Prix : 80-150 € TTC
Avantage : Fiabilité éprouvée, capacité importante, usage desktop/portable. À conserver hors-site (chez vous ou tiers).
Inconvénient : Restauration manuelle (moins automatisée qu'un NAS).
Depuis 2015, j'accompagne des petits commerces, artisans et TPE de la Drôme et l'Ardèche. J'ai vu de tout : des sinistres évités de justesse, des données perdues définitivement, des attaques déjouées par une bonne sauvegarde.
Le cas qui m'a le plus marqué ? Un restaurateur de Valence attaqué par ransomware un lundi matin. Son système était crypté, demande de rançon affichée. Panique totale. Sauf qu'il avait mis en place la règle 3-2-1 trois mois plus tôt : serveur local + NAS + Backblaze. Nous avons restauré l'intégralité de ses données (factures, menus, client, comptabilité) en 48h. Coût du sinistre : quelques milliers d'euros de perte d'exploitation. Coût si pas de sauvegarde ? 50 000 € minimum de perte + dommage réputationnel irréversible.
J'ai aussi vu des TPE sans sauvegarde perdre des années de travail pour une surcharge électrique, un incendie ou une panne disque. Le dénominateur commun : pas de 3-2-1 en place, souvent parce qu'ils trouvaient le coût « trop élevé ». En réalité, le coût d'une bonne sauvegarde 3-2-1 (1500 € à l'installation, 200 € par an de maintenance) devient infinitésimal comparé au risque de perte totale.
Conclusion personnelle : la règle 3-2-1 ne doit pas être un projet « à faire un jour ». Elle doit être mise en place dans les 30 jours suivant le démarrage ou la reprise d'une structure. C'est votre parachute. Vous ne prenez pas l'avion sans parachute ; ne lancez pas votre TPE sans sauvegarde 3-2-1.
Avec 2 copies : si l'une tombe en panne, vous n'avez plus qu'une copie. Risqué. Avec 3 copies : vous perdez une, vous en avez toujours 2. La redondance fonctionne vraiment. Au-delà de 4 ou 5, les coûts augmentent exponentiellement pour un gain de sécurité marginal. 3 est donc le sweet spot : économique et sûr.
Non. La hiérarchie selon les experts (et l'ANSSI) est : 1) stockage local sur serveur/poste (copie 1), 2) stockage local sur support différent — disque externe ou NAS (copie 2), 3) cloud hors-site (copie 3). Cette ordre minimise la latence pour une restauration d'urgence et maximise la redondance. Le cloud complète, il ne remplace pas.
Budget initial : 1000 à 2000 € (NAS 4 baies + disque externe + première année cloud). Budget annuel : 200-400 € (maintenance, disques de remplacement, abonnement cloud). Pour une TPE typique en Drôme ou Ardèche, c'est l'équivalent de 1 à 2 journées de consultant IT, une seule fois. Le ROI est positif dès le premier sinistre évité.
Seul test valide : restaurez un fichier ou un dossier réel une fois par mois. Vérifiez qu'il est complet et intègre. Documentez le test (date, fichier, résultat). C'est le seul moyen de confirmer que votre stratégie n'est pas juste une théorie. Nombre de structures découvrent que leur sauvegarde ne fonctionne pas... au moment du sinistre. Trop tard.
Ces outils sont des cloud de partage et synchronisation, pas des solutions de sauvegarde robustes. Ils n'offrent pas la granularité (restauration point-in-time), ni la redondance géographique, ni le contrôle que demande 3-2-1. À utiliser pour collaborer sur des fichiers, oui. À conserver aussi pour la sauvegarde hors-site d'éléments critiques, pourquoi pas. Mais pas comme solution unique.
Au minimum : 2 personnes dans votre structure (dirigeant + responsable IT ou tiers). Les clés de chiffrement doivent être documentées dans un coffre physique ou un gestionnaire de mots de passe sécurisé (Bitwarden, 1Password). Si votre prestataire IT quitte, vous devez pouvoir accéder à vos sauvegardes. C'est crucial pour l'autonomie et la sécurité à long terme.
Partiellement. Un ransomware peut chiffrer vos données principales et vos sauvegardes locales (s'elles ne sont pas déconnectées). Mais une bonne 3-2-1 garantit toujours une copie accessible : le cloud hors-site, hors du réseau attaqué. De plus, la dédupliquation et le versionnage des sauvegardes vous permettent souvent de restaurer une version pré-attaque. C'est le filet de sécurité indispensable.
La règle 3-2-1 peut sembler complexe, mais elle l'est bien moins qu'une perte totale de données. Je peux auditer votre situation actuelle et vous proposer un plan personnalisé, adapté à votre budget et vos risques spécifiques.
Me contacter pour un audit gratuit