Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce que la stratégie de sauvegarde 3-2-1 ? Exemples et bonnes pratiques
Cybersecurity 101/Cybersécurité/Stratégie de sauvegarde 3-2-1

Qu'est-ce que la stratégie de sauvegarde 3-2-1 ? Exemples et bonnes pratiques

La stratégie de sauvegarde 3-2-1 exige trois copies des données sur deux types de supports, dont une conservée hors site. Découvrez les variantes modernes et les bonnes pratiques pour se défendre contre les ransomwares.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que la stratégie de sauvegarde 3-2-1 ?
Comment la stratégie de sauvegarde 3-2-1 s’intègre à la cybersécurité
Composants clés de la stratégie de sauvegarde 3-2-1
Variantes modernes : pourquoi 3-2-1 seul ne suffit plus
Architecture de la stratégie de sauvegarde 3-2-1
Comment mettre en œuvre une stratégie de sauvegarde 3-2-1
Étape 1 : Identifier et classer les données critiques
Étape 2 : Sélectionner deux supports de stockage distincts
Étape 3 : Mettre en place votre copie hors site
Étape 4 : Automatiser et surveiller
Étape 5 : Tester les restaurations et documenter les résultats
Principaux avantages de la stratégie de sauvegarde 3-2-1
Défis et limites de la stratégie de sauvegarde 3-2-1
Erreurs courantes dans la stratégie de sauvegarde 3-2-1
Bonnes pratiques pour la stratégie de sauvegarde 3-2-1
Comment les ransomwares ciblent l’infrastructure de sauvegarde
Points clés à retenir

Articles similaires

  • Qu'est-ce que le modèle Purdue ? Définition, niveaux et bonnes pratiques
  • Qu'est-ce qu'une Secure Web Gateway (SWG) ? Défense réseau expliquée
  • Qu'est-ce que l'injection de commandes système ? Exploitation, impact et défense
  • Statistiques sur les malwares
Auteur: SentinelOne | Réviseur: Arijeet Ghatak
Mis à jour: May 25, 2026

Qu'est-ce que la stratégie de sauvegarde 3-2-1 ?

La stratégie de sauvegarde 3-2-1, également appelée règle de sauvegarde 3-2-1, est un cadre de protection des données reposant sur trois règles : conserver 3 copies de vos données, les stocker sur 2 types de supports différents et garder 1 copie hors site. Peter Krogh a formalisé ce concept dans The DAM Book: Digital Asset Management for Photographers (O'Reilly Media, 2009), en synthétisant les meilleures pratiques existantes dans un cadre mémorable et actionnable. Le guide de sauvegarde de la CISA le cite comme la norme canonique en matière de sauvegarde, et le NIST CSF renforce ses principes via le contrôle PR.DS-11 : « Des sauvegardes des données sont créées, protégées, maintenues et testées. »

Le cadre trouve son origine dans la photographie, et non dans l’informatique, ce qui souligne son universalité indépendante de la technologie. Mais cette universalité a ses limites. Le 3-2-1 traditionnel a été conçu pour les pannes matérielles et les catastrophes sur site, pas pour les attaques adverses contre l’infrastructure de sauvegarde. Les opérateurs de ransomware ciblent désormais en priorité les sauvegardes, détruisant les options de récupération avant d’exiger une rançon. Ce changement a donné naissance à des variantes modernes qu’il convient de comprendre avant de choisir une méthode de mise en œuvre.

Comment la stratégie de sauvegarde 3-2-1 s’intègre à la cybersécurité

La stratégie de sauvegarde relevait autrefois des opérations informatiques. Le ransomware l’a placée sur le bureau de l’équipe sécurité.

NIST SP 800-209 avertit explicitement que les ransomwares ont évolué pour inclure d’autres composants de stockage, tels que les NAS et les appliances de sauvegarde, permettant le vol d’identifiants, l’élévation de privilèges, la corruption, la perte ou l’altération de données, la compromission des sauvegardes futures. Lorsque les attaquants compromettent votre infrastructure de sauvegarde, la stratégie 3-2-1 fait la différence entre un incident récupérable et une interruption prolongée.

Un rapport sur un ransomware Beast a décrit les techniques de destruction de sauvegardes comme un savoir-faire délibérément partagé au sein de l’écosystème ransomware. Vos sauvegardes ne sont plus un filet de sécurité. Elles sont une cible principale, et votre stratégie de sauvegarde devient un contrôle de sécurité. Comprendre chaque composant du cadre est la première étape pour le défendre.

Composants clés de la stratégie de sauvegarde 3-2-1

Chaque composant du cadre 3-2-1 répond à un mode de défaillance spécifique. Le guide des options de sauvegarde de la CISA et les normes de sauvegarde du NCCoE définissent formellement les trois :

  • Trois copies des données (1 principale + 2 sauvegardes) Vous éliminez les points de défaillance uniques dans tous les scénarios. Si une sauvegarde est corrompue ou supprimée, une seconde copie indépendante subsiste. C’est votre redondance de base.
  • Deux types de supports différents Vous stockez les copies sur des technologies de stockage différentes, telles qu’une baie de disques et un stockage objet cloud, ou SSD et bande. Une panne de baie RAID n’affectera pas votre bibliothèque de bandes. Une panne de fournisseur cloud n’impactera pas votre stockage sur site. La diversité des supports protège contre les défaillances catastrophiques spécifiques à une technologie.
  • Une copie hors site Au moins une copie est conservée dans un lieu géographiquement distinct de votre site principal. Incendie, inondation, vol physique ou ransomware se propageant latéralement sur votre réseau peuvent tout détruire sur un même site. La séparation géographique limite ce rayon d’impact.

Ces trois composants constituent la base, mais les schémas d’attaque modernes ont révélé des lacunes que le cadre d’origine n’avait pas vocation à traiter.

Variantes modernes : pourquoi 3-2-1 seul ne suffit plus

La règle de sauvegarde 3-2-1 traditionnelle suppose des défaillances accidentelles, non adverses. Les opérateurs de ransomware modernes ciblent activement les dépôts de sauvegarde, suppriment les copies de l’ombre et compromettent les identifiants des administrateurs de sauvegarde. Trois variantes répondent à cette lacune :

  • 3-2-1-1-0 (Standard entreprise) Ajoute une copie immuable ou déconnectée et zéro erreur grâce à des tests de restauration vérifiés. Cette variante est largement présentée dans les recommandations modernes comme une approche renforcée pour l’entreprise. Le « 0 » impose la surveillance des sauvegardes et des tests de restauration réguliers, garantissant que vous ne découvrirez jamais une sauvegarde corrompue lors d’un incident actif.
  • 3-2-1-1 (Approche intermédiaire) Ajoute une copie hors ligne ou immuable sans l’obligation de vérification de 3-2-1-1-0. C’est une étape pratique pour les équipes qui recherchent une meilleure résilience face aux ransomwares sans complexité opérationnelle complète.
  • 4-3-2 (Résilience géographique) Maintient quatre copies au total sur trois sites, avec deux copies stockées hors site sur des réseaux distincts. Cette variante privilégie la distribution géographique et la multiplicité des chemins de récupération pour la continuité d’activité, à la différence de l’accent mis sur l’immuabilité dans 3-2-1-1-0.
VarianteAtout principalCompromis clé
3-2-1Simplicité, approuvé NIST/CISAInsuffisant contre les ransomwares ciblant les sauvegardes
3-2-1-1Ajoute une protection hors lignePas d’assurance de restauration vérifiée
3-2-1-1-0Immuabilité + vérificationCoût d’implémentation et complexité opérationnelle élevés
4-3-2Résilience maximale aux catastrophes sur siteComplexité logistique géographique

Le choix d’une variante dépend de votre profil de risque et de votre maturité opérationnelle. La section suivante détaille la mise en œuvre pratique de la stratégie.

Architecture de la stratégie de sauvegarde 3-2-1

La mise en œuvre s’articule autour de trois couches : architecture de stockage, contrôles de protection et processus de vérification.

  • Couche 1 : Architecture de stockage Vous déployez vos données principales en production, une première sauvegarde sur un stockage local ou en réseau pour une restauration rapide, et une seconde sauvegarde dans un emplacement géographiquement distinct. Chaque couche répond à un scénario de récupération différent : les sauvegardes locales restaurent rapidement des fichiers individuels, les sauvegardes hors site permettent de récupérer après une catastrophe sur site.
  • Couche 2 : Contrôles de protection Chaque copie nécessite des contrôles d’accès indépendants. Selon le guide ransomware de la CISA, les opérateurs de ransomware modernes « tenteront de supprimer les instantanés de sauvegarde, chiffrer les dépôts de sauvegarde, désactiver les logiciels de sauvegarde, [et] accéder aux systèmes de sauvegarde cloud à l’aide d’identifiants compromis. » Des identifiants partagés sur tous les emplacements de sauvegarde signifient qu’un seul compte compromis donne accès à chaque copie.

Pour les implémentations 3-2-1-1-0, la copie immuable utilise des verrous de rétention empêchant toute modification ou suppression pendant des périodes définies. Les copies déconnectées nécessitent une isolation physique ou logique du réseau avec des processus stricts encadrant les transferts de données.

  • Couche 3 : Vérification Le guide de défense de la CISA recommande de vérifier que votre équipe peut restaurer des données couvrant au moins sept jours d’activité. La vérification mensuelle de la restauration de fichiers, les tests trimestriels de récupération applicative et les exercices annuels de bascule complète constituent une cadence de test pratique. Le « 0 » de 3-2-1-1-0 existe car des sauvegardes non testées n’offrent aucune garantie de récupération en cas de crise.

La plateforme Singularity de SentinelOne ajoute ici une couche de défense complémentaire. Son IA comportementale surveille en continu les opérations sur les endpoints protégés, permettant la  récupération par rollback ransomware à des états pré-infection. L’agent protège l’infrastructure Windows Volume Shadow Copy Service (VSS), souvent ciblée par les variantes de ransomware avant le chiffrement.

Une fois les couches de mise en œuvre en place, l’étape suivante consiste à appliquer la stratégie en pratique.

Comment mettre en œuvre une stratégie de sauvegarde 3-2-1

Passer du concept à la production nécessite un déploiement structuré. Les étapes suivantes décrivent une séquence d’implémentation pratique, de la définition du périmètre à la validation.

Étape 1 : Identifier et classer les données critiques

Commencez par inventorier les données indispensables au fonctionnement de votre organisation. Cela inclut les bases de données de production, les configurations applicatives, les identifiants d’authentification, les clés de chiffrement et la documentation de récupération. Classez les données selon leur criticité métier afin d’assigner une fréquence de sauvegarde et des périodes de rétention adaptées à chaque niveau. Tout ne nécessite pas des instantanés horaires ; adapter la cadence de sauvegarde aux exigences réelles en  RTO et RPO évite la surprovisionnement comme les lacunes.

Étape 2 : Sélectionner deux supports de stockage distincts

Choisissez deux technologies de stockage présentant des modes de défaillance indépendants. Les associations courantes incluent :

  • Disque local ou NAS + stockage objet cloud : Restauration locale rapide avec séparation géographique via le cloud
  • SSD + bande (WORM) : Sauvegarde primaire rapide avec copie secondaire physiquement hors ligne
  • Baie sur site + second fournisseur cloud : Redondance multi-cloud contre la compromission d’un fournisseur unique

L’objectif est de garantir qu’une défaillance affectant un support, qu’elle soit matérielle, logicielle ou liée aux identifiants, ne puisse toucher l’autre.

Étape 3 : Mettre en place votre copie hors site

Votre copie hors site doit être séparée géographiquement et logiquement de votre site principal. Une sauvegarde cloud vers une autre région ou un autre fournisseur répond à cette exigence si elle est configurée comme une vraie sauvegarde planifiée, et non une synchronisation en temps réel. Pour les organisations adoptant 3-2-1-1-0, c’est également à ce stade que vous configurez le  stockage immuable avec verrous de rétention et identifiants d’accès indépendants.

Étape 4 : Automatiser et surveiller

Les processus de sauvegarde manuels échouent sous la pression opérationnelle. Automatisez la planification des sauvegardes, l’application des politiques de rétention et l’alerte en cas d’échec. Surveillez les volumes de sauvegarde pour détecter les anomalies : activité de chiffrement inattendue, modifications massives de fichiers ou accès depuis des comptes non dédiés à la sauvegarde sont autant d’indices de compromission. Le guide ransomware de la CISA avertit spécifiquement que les attaquants ciblent les logiciels et identifiants de sauvegarde, donc la surveillance de votre infrastructure de sauvegarde est aussi importante que celle des systèmes de production.

Étape 5 : Tester les restaurations et documenter les résultats

Une sauvegarde jamais restaurée est une hypothèse, pas un contrôle. Effectuez des restaurations de fichiers chaque mois, des tests de récupération applicative chaque trimestre et des bascules complètes chaque année. Documentez les temps de récupération réels pour chaque test afin que vos objectifs RTO reflètent la réalité, et non des estimations.

Avec une implémentation opérationnelle, la stratégie offre plusieurs avantages concrets pour les organisations confrontées à des scénarios de perte de données accidentelle ou malveillante.

Principaux avantages de la stratégie de sauvegarde 3-2-1

Une stratégie de sauvegarde 3-2-1 correctement mise en œuvre offre des avantages mesurables en matière de récupération, de conformité et de résilience opérationnelle.

  • Récupération après ransomware sans paiement de rançon : Les organisations disposant d’architectures de sauvegarde appropriées sont mieux placées pour restaurer des données chiffrées sans dépendre du paiement d’une rançon. Des sauvegardes validées offrent une voie de récupération indépendante de la coopération des attaquants.
  • Défense en profondeur contre la compromission de l’infrastructure : Les architectures hybrides combinant stockage sur site et cloud maintiennent la capacité de récupération même si un environnement est totalement compromis. Les sauvegardes sur site permettent une restauration rapide pour les incidents courants, tandis que les sauvegardes cloud assurent la séparation géographique pour les scénarios de catastrophe.
  • Alignement conformité et audit : La structure 3-2-1 s’aligne directement sur le  NIST CSF, répondant aux exigences de base en matière de protection des données. Cet alignement peut simplifier la préparation des audits et les rapports de conformité.
  • Réduction de la dépendance à un fournisseur cloud : Les architectures de sauvegarde multi-cloud réduisent votre exposition aux incidents de sécurité d’un fournisseur unique. Le guide de sauvegarde de la CISA recommande l’utilisation de solutions multi-cloud pour se prémunir contre les scénarios où tous les comptes d’un même fournisseur sont impactés.
  • Gestion RTO/RPO sur des opérations distribuées : Le maintien de copies locales permet une restauration rapide pour les incidents courants, tandis que les copies hors site préservent la capacité de récupération lors d’événements catastrophiques. Cette approche par niveaux permet d’adapter le  RTO et le RPO à la criticité réelle de l’activité, plutôt que d’appliquer une norme unique à toutes les charges de travail.

Ces avantages se renforcent lorsqu’ils sont associés à des variantes modernes comme 3-2-1-1-0, qui ajoutent l’immuabilité et la vérification de la récupération au cadre de base.

Défis et limites de la stratégie de sauvegarde 3-2-1

Le cadre 3-2-1 offre une protection fondamentale solide, mais il présente des limites mises en évidence par les environnements modernes.

  • Les ransomwares détruisent activement les sauvegardes La principale limite est le ciblage adversaire. Les attaquants tentent systématiquement de corrompre ou supprimer les sauvegardes pour éliminer les options de récupération. Le 3-2-1 traditionnel ne prévoit aucune défense spécifique contre ce schéma. Si vos sauvegardes restent connectées aux systèmes de production, les attaquants peuvent les compromettre avant le  début de la réponse à incident.
  • L’infrastructure de sauvegarde est une surface d’attaque Les outils de sauvegarde comportent leurs propres vulnérabilités. Un  bulletin de vulnérabilité CISA documente la CVE-2025-68435, une vulnérabilité de contournement d’authentification dans un logiciel de sauvegarde où le middleware d’authentification n’est pas correctement appliqué aux points de terminaison API. Vous devez appliquer la même  discipline de gestion des vulnérabilités aux logiciels de sauvegarde qu’à tout autre système d’entreprise.
  • La synchronisation cloud n’est pas une sauvegarde Les services de synchronisation cloud ne satisfont pas à l’exigence de copie hors site. Une synchronisation constante signifie que si un ransomware chiffre vos données principales, les deux ensembles de données sont chiffrés. Cette confusion crée une fausse confiance sans réelle protection.
  • Conflits entre immuabilité et conformité Les exigences de conservation et d’effacement des données peuvent entrer en conflit avec les configurations d’immuabilité. Avant de mettre en œuvre un  stockage immuable basé sur le cloud dans des environnements réglementés, un examen juridique peut être nécessaire pour concilier les obligations de protection des données et les verrous de rétention.

Ces limites sont gérables, mais les ignorer crée des failles exploitées par les attaquants. Au-delà des contraintes inhérentes à la stratégie, les erreurs de mise en œuvre introduisent des risques supplémentaires.

Erreurs courantes dans la stratégie de sauvegarde 3-2-1

Même les implémentations de sauvegarde bien intentionnées échouent lorsque les équipes répètent quelques erreurs fréquentes. Éviter ces erreurs comble les failles exploitées par les opérateurs de ransomware.

  • Partage des identifiants sur tous les emplacements de sauvegarde : Un seul identifiant compromis donne accès à chaque copie, annulant toute diversification géographique. Les identifiants des systèmes de sauvegarde doivent être gérés séparément des référentiels de production.
  • Considérer le stockage connecté au réseau comme « hors site » : Un serveur de sauvegarde sur le même réseau n’est pas hors site. Un ransomware se propageant latéralement atteint le stockage adjacent au réseau. Il faut une véritable isolation réseau et géographique, c’est-à-dire des installations distinctes, pas de simples serveurs séparés dans le même centre de données.
  • Ne jamais tester les restaurations : Une analyse d’expert dans une newsletter SANS a noté que la stratégie traditionnelle des copies 3-2-1 ne facilite pas la récupération en quelques heures ou jours pour les applications critiques. Si vous n’avez jamais testé une restauration complète, vous n’avez pas de stratégie de sauvegarde, mais une stratégie d’espoir.
  • Utiliser uniquement des chaînes de sauvegardes incrémentielles : La corruption ou la suppression d’une seule sauvegarde incrémentielle rompt toute la chaîne de restauration. Des sauvegardes complètes régulières sont nécessaires pour éviter l’échec total de la chaîne.
  • Sur-privilégier les comptes de sauvegarde : Selon le guide de sauvegarde de la CISA, les comptes de sauvegarde avec accès administrateur de domaine deviennent des cibles de grande valeur. Les comptes root ne doivent pas être utilisés pour les opérations quotidiennes de sauvegarde. Appliquez les principes  zero-trust : privilèges strictement nécessaires uniquement.
  • Ignorer les correctifs logiciels de sauvegarde : L’infrastructure de sauvegarde comporte des CVE comme tout autre logiciel. Traitez les consoles de gestion de sauvegarde avec la même urgence de correctifs que votre  sécurité des endpoints.
  • Exclure les dépendances de récupération du périmètre de sauvegarde : Les directives de sauvegarde du NIST précisent que les plans de sauvegarde doivent inclure mots de passe, certificats numériques, clés de chiffrement et autres informations nécessaires à une reprise rapide. Sauvegarder les données sans sauvegarder les clés de déchiffrement revient au même que ne pas avoir de sauvegarde du tout.

Chacune de ces erreurs réduit la protection effective offerte par votre architecture 3-2-1. Les bonnes pratiques suivantes y répondent directement.

Bonnes pratiques pour la stratégie de sauvegarde 3-2-1

Ces six pratiques renforcent votre implémentation 3-2-1 contre les défaillances accidentelles comme les attaques délibérées sur l’infrastructure de sauvegarde.

  1. Déployer un stockage immuable avec verrous de rétention Les dépôts de sauvegarde renforcés doivent utiliser des identifiants à usage unique, l’accès root désactivé et la suppression des protocoles inutiles. L’objectif est un dépôt difficile à modifier même si un serveur de gestion est compromis.
  2. Établir des copies déconnectées Les recommandations du NIST préconisent de sécuriser les fichiers de sauvegarde hors ligne avec des intervalles de mise à jour conformes aux exigences RPO et RTO. L’air-gap physique et l’isolation logique avec des contrôles d’accès stricts sont deux implémentations valides.
  3. Tout chiffrer, restreindre les permissions de restauration Chiffrez toutes les données de sauvegarde au repos et en transit. Surtout, restreignez les permissions de restauration plus strictement que celles de sauvegarde. Si des attaquants obtiennent un accès en écriture, des contrôles de restauration plus stricts peuvent limiter l’exfiltration de données.
  4. Mettre en place une surveillance comportementale de l’infrastructure de sauvegarde La plateforme Singularity de SentinelOne détecte en temps réel les anomalies comportementales sur les volumes de sauvegarde, stoppant le ransomware à l’exécution avant qu’il n’atteigne les fichiers de sauvegarde.
  5. Maintenir une documentation de récupération hors ligne Le NIST IR 8374 indique que les plans de réponse doivent exister hors ligne car l’incident peut rendre inaccessibles les copies numériques stockées sur le réseau ciblé. Des runbooks de récupération imprimés ou sur clé USB chiffrée constituent un contrôle de résilience légitime.
  6. Diversifier les supports et les fournisseurs Utilisez un mélange de disque, stockage objet cloud et bande WORM auprès de plusieurs fournisseurs. La bande WORM reste pertinente car elle est par défaut physiquement hors ligne. Les stratégies multi-fournisseurs réduisent l’exposition à la compromission des identifiants d’un seul fournisseur.

L’application de ces pratiques renforce votre architecture, mais comprendre les modes opératoires des attaquants montre pourquoi elles sont essentielles. Les incidents réels confirment que les systèmes de sauvegarde sont des cibles prioritaires.

Comment les ransomwares ciblent l’infrastructure de sauvegarde

La destruction des sauvegardes n’est pas un effet secondaire des opérations de ransomware : c’est une phase délibérée et documentée. Les incidents suivants illustrent l’approche des attaquants vis-à-vis de l’infrastructure de sauvegarde.

  • Beast Ransomware : destruction de sauvegardes comme tactique documentée Un  rapport sur le ransomware Beast a révélé que le playbook opérationnel du groupe incluait des techniques ciblant les sauvegardes, partagées ouvertement dans l’écosystème ransomware, faisant de la destruction des sauvegardes une procédure standard.
  • Refus de récupération comme phase d’attaque formelle Un  rapport M-Trends 2026 a décrit des attaquants passant plus de temps à cartographier et compromettre les systèmes de sauvegarde avant la phase de chiffrement. Si vos dépôts de sauvegarde sont accessibles sur le réseau et non surveillés indépendamment, cette fenêtre prolongée donne aux attaquants plus de temps pour compromettre les sauvegardes.
  • Disruption du secteur public et pression sur la récupération Une  enquête de résilience GovTech a rapporté des perturbations liées aux ransomwares dans le secteur public, y compris des bureaux hors ligne et des impacts sur la réponse d’urgence, avec un soutien renforcé de la direction pour la cybersécurité corrélé à une meilleure récupération.

Ces incidents confirment que la stratégie de sauvegarde seule ne suffit pas. Associer la résilience à une défense active des endpoints comble l’écart entre disposer de sauvegardes et pouvoir les utiliser.

Une cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

La stratégie de sauvegarde 3-2-1 reste la base de la protection des données, et le ransomware l’a élevée d’une opération IT à un contrôle de sécurité. Les attaquants modernes ciblent les sauvegardes comme objectif principal, rendant les variantes telles que 3-2-1-1-0 avec immuabilité et tests de récupération vérifiés de plus en plus essentielles pour la résilience des entreprises. 

Associez votre architecture de sauvegarde à une IA comportementale et des capacités de rollback autonomes pour stopper le ransomware avant qu’il n’atteigne vos sauvegardes et inverser les dommages le cas échéant.

FAQ

La stratégie de sauvegarde 3-2-1 (également appelée règle de sauvegarde 3-2-1) est un cadre de protection des données qui exige trois copies de vos données, stockées sur deux types de supports différents, avec une copie conservée hors site. CISA et NIST la recommandent toutes deux comme norme de base. 

Ce cadre protège contre les pannes matérielles, les sinistres au niveau du site et la corruption des données en garantissant qu'aucun événement unique ne puisse détruire toutes les copies de vos données simultanément.

La stratégie 3-2-1 exige trois copies, deux types de supports et une copie hors site. La 3-2-1-1-0 ajoute deux éléments : une copie immuable ou isolée physiquement que les attaquants ne peuvent pas modifier avec des identifiants compromis, et zéro erreur vérifiée grâce à des tests de restauration réguliers. 

Ces ajouts répondent spécifiquement à la pratique des opérateurs de ransomware qui consiste à cibler et détruire l’infrastructure de sauvegarde avant de chiffrer les données de production.

Le stockage cloud répond à l’exigence de sauvegarde hors site uniquement s’il s’agit d’une véritable sauvegarde, et non d’un service de synchronisation. La synchronisation cloud reflète les modifications en temps réel, ce qui signifie que le chiffrement par ransomware se propage simultanément aux deux copies. 

Une véritable sauvegarde cloud utilise des instantanés planifiés avec des politiques de rétention indépendantes, des identifiants d’accès distincts et, idéalement, des verrous d’immuabilité pour empêcher toute modification.

Suivez une cadence par niveaux : vérification mensuelle de la restauration de fichiers à partir de dépôts de sauvegarde aléatoires, tests trimestriels de récupération au niveau applicatif dans des environnements isolés, et exercices annuels de basculement complet de l'environnement. 

CISA recommande de vérifier que votre équipe peut restaurer au moins sept jours d'activité. Documentez les temps de récupération réels lors de chaque test afin de mesurer votre RTO réel par rapport à celui supposé.

Des sauvegardes immuables correctement configurées ne peuvent pas être chiffrées, modifiées ou supprimées pendant la période de rétention. Cependant, une immuabilité mal configurée, telle que des verrous de rétention avec des lacunes ou des comptes de gestion surpriviliégiés, peut toujours créer un risque. 

La séparation physique (air-gapping) offre un contrôle complémentaire : l'immuabilité protège contre la compromission des identifiants, tandis que la séparation physique protège contre la compromission plus large de l'infrastructure.

NIST précise que les plans de sauvegarde doivent couvrir les mots de passe, certificats numériques, clés de chiffrement et toutes les informations nécessaires à la reprise des opérations. 

De nombreuses organisations sauvegardent les données sans sauvegarder les identifiants et clés nécessaires pour y accéder, ce qui revient au même que de ne pas avoir de sauvegarde. La documentation de reprise, les configurations réseau et les dépendances applicatives doivent également être incluses dans le périmètre de sauvegarde.

En savoir plus sur Cybersécurité

Statistiques sur les violations de donnéesCybersécurité

Statistiques sur les violations de données

Consultez les dernières statistiques sur les violations de données en 2026 pour comprendre les défis auxquels les entreprises sont confrontées. Découvrez comment les acteurs malveillants provoquent des violations de données, qui ils ciblent, et plus de détails.

En savoir plus
Statistiques des attaques DDoSCybersécurité

Statistiques des attaques DDoS

Les attaques DDoS deviennent plus fréquentes, plus courtes et plus difficiles à ignorer. Notre article sur les statistiques des attaques DDoS vous explique qui est ciblé actuellement, comment les campagnes se déroulent, et plus encore.

En savoir plus
Statistiques sur les menaces internesCybersécurité

Statistiques sur les menaces internes

Obtenez des informations sur les tendances, les mises à jour et plus encore concernant les dernières statistiques sur les menaces internes pour 2026. Découvrez les dangers auxquels les organisations sont actuellement confrontées, qui a été touché et comment rester protégé.

En savoir plus
Qu'est-ce qu'un infostealer ? Fonctionnement des malwares voleurs d'identifiantsCybersécurité

Qu'est-ce qu'un infostealer ? Fonctionnement des malwares voleurs d'identifiants

Les infostealers extraient silencieusement les mots de passe, cookies de session et données de navigateur des systèmes infectés. Les identifiants volés alimentent les ransomwares, la prise de contrôle de comptes et la fraude.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français