Un leader du Magic Quadrant™ Gartner® 2026 pour la Protection des Endpoints. Six ans de suite.Un leader du Magic Quadrant™ Gartner®Découvrez pourquoi
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce que les sauvegardes Air Gapped ? Exemples et bonnes pratiques
Cybersecurity 101/Cybersécurité/Sauvegardes Air Gapped

Qu'est-ce que les sauvegardes Air Gapped ? Exemples et bonnes pratiques

Les sauvegardes Air Gapped conservent au moins une copie de récupération hors de portée des attaquants. Découvrez leur fonctionnement, les types, des exemples et les bonnes pratiques pour la récupération après ransomware.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que les sauvegardes air gapped ?
Les sauvegardes air gapped comme contrôle de cybersécurité
Composants essentiels des sauvegardes air gapped
Fonctionnement des sauvegardes air gapped
Types d'architectures de sauvegarde air gapped
Exemples pratiques de sauvegardes air gapped
Air gap physique basé sur bande
Air gap logique segmenté par le réseau
Air gap logique via coffre cloud
Principaux avantages des sauvegardes air gapped
Qui a besoin de sauvegardes air gapped ?
Défis et limites des sauvegardes air gapped
Erreurs courantes sur les sauvegardes air gapped
Bonnes pratiques pour les sauvegardes air gapped
Incidents ransomware réels et leçons sur les sauvegardes
Points clés à retenir

Articles similaires

  • OWASP Top 10 : Vulnérabilités, risques et comment les corriger
  • Exigences de sécurité GDPR : liste de conformité et guide
  • Qu'est-ce que la conformité CMMC ? Définition, niveaux et exigences
  • Qu'est-ce que la stratégie de sauvegarde 3-2-1 ? Exemples et bonnes pratiques
Auteur: SentinelOne
Mis à jour: April 21, 2026

Qu'est-ce que les sauvegardes air gapped ?

Les opérateurs de ransomware ciblent désormais l'infrastructure de sauvegarde avant de chiffrer les données de production. Selon l'étude de CISA sur le coût des incidents cyber, le coût moyen par incident de violation atteint 5,9 millions de dollars, c'est pourquoi votre dernière ligne de défense n'est utile que si les attaquants ne peuvent pas l'atteindre.

Les sauvegardes air gapped sont des copies isolées de données critiques, séparées physiquement ou logiquement des réseaux de production. Elles créent une barrière protectrice en établissant des environnements à accès contrôlé, inaccessibles aux attaques réseau. Que ce soit via des supports de bande physiquement déconnectés, un stockage segmenté par le réseau avec des contrôles d'accès stricts, ou des coffres cloud logiquement isolés, les sauvegardes air gapped garantissent qu'au moins une copie de récupération reste plus difficile à atteindre pour les attaquants lors de leurs déplacements latéraux dans votre environnement.

Le NIST SP 800-209 établit que les opérations de sauvegarde peuvent inclure des dispositifs de stockage hors ligne, tandis que le guide ransomware de la CISA recommande aux organisations de maintenir des sauvegardes hors ligne car les ransomwares tentent souvent de supprimer ou de chiffrer les données de sauvegarde accessibles.

Air Gapped Backups - Featured Image | SentinelOne

Les sauvegardes air gapped comme contrôle de cybersécurité

Les sauvegardes air gapped se situent à l'intersection de la protection des données et de la résilience face aux ransomwares. Les familles de ransomwares modernes effectuent une reconnaissance spécifique pour localiser les serveurs de sauvegarde, supprimer les copies de l'ombre et chiffrer les référentiels de sauvegarde avant de déclencher le chiffrement en production. Le guide de réponse ransomware de la CISA recommande aux organisations de « maintenir des sauvegardes hors ligne et chiffrées des données critiques » car les variantes modernes de ransomware « tendent à rechercher puis supprimer ou chiffrer les sauvegardes accessibles ».

Lorsque votre protection des endpoints détecte et bloque une tentative de ransomware via l'IA comportementale, la menace s'arrête là. Mais lorsque les défenses sont contournées ou neutralisées, les sauvegardes air gapped peuvent offrir une voie de récupération en dehors du périmètre immédiat d'une attaque réseau. Pour comprendre comment cette protection fonctionne en pratique, il faut décomposer l'architecture en ses composants essentiels.

Composants essentiels des sauvegardes air gapped

Toute architecture de sauvegarde air gapped, quel que soit son type, repose sur les mêmes six couches. Chacune doit être maintenue pour que l'isolation soit significative.

  • Couche de stockage isolé. L'environnement physique ou logique où résident les copies de sauvegarde, incluant les bibliothèques de bandes, les baies de disques amovibles, les systèmes segmentés par le réseau ou les domaines de sécurité cloud isolés avec authentification séparée.
  • Mécanismes de transfert. Les données sont transférées de la production vers la couche de stockage isolée via des chemins contrôlés, qu'il s'agisse de transport manuel ou robotisé de supports, ou de réplications programmées avec des flux de données unidirectionnels empêchant toute contamination inverse.
  • Couche d'immutabilité. Une fois les données dans l'environnement air gapped, elles doivent résister à toute modification ou suppression via des supports de bande à écriture unique, des verrous de rétention logiciels ou des modes de conformité de stockage objet conformes.
  • Contrôles d'accès. Les implémentations physiques reposent sur des accès par clé ou combinaison avec journalisation des entrées. Les implémentations logiques exigent un contrôle d'accès basé sur les rôles, une authentification multifacteur, l'application du principe du moindre privilège et la journalisation des accès. Le guide de protection des données de la CISA exige la MFA pour l'accès administratif et un accès basé sur les rôles avec application du moindre privilège sur les systèmes protégés.
  • Chiffrement. Les données de sauvegarde doivent être chiffrées au repos et en transit. Le guide des standards de chiffrement de la CISA spécifie FIPS 140-2 pour les données en transit et au repos, ou des mécanismes de chiffrement renforcés. Les systèmes de gestion des clés de chiffrement doivent rester isolés des données de sauvegarde pour éviter qu'une compromission unique n'expose les deux.
  • Infrastructure de vérification. Vous devez pouvoir confirmer l'intégrité des sauvegardes via des contrôles réguliers d'intégrité, des sommes de contrôle, des routines de vérification de sauvegarde et des tests de restauration.

Une faiblesse dans une seule couche peut compromettre toute l'architecture. L'étape suivante consiste à comprendre comment ces couches fonctionnent à travers la sauvegarde, l'isolation, le stockage et la récupération.

Fonctionnement des sauvegardes air gapped

Les sauvegardes air gapped suivent un cycle en quatre phases : capture, isolation, stockage sécurisé et récupération contrôlée. Chaque phase a des exigences spécifiques qui déterminent la robustesse de l'architecture lorsqu'un attaquant atteint votre environnement.

  • Phase 1 : Sauvegarde et capture. Les données de production sont copiées vers la cible de sauvegarde via vos processus standards. Avant d'entrer dans l'environnement air gapped, une analyse antimalware valide l'intégrité. L'analyse pré-gap est essentielle car sauvegarder des données compromises dans un environnement air gapped et immuable crée une copie empoisonnée pouvant entraîner une réinfection lors de la restauration.
  • Phase 2 : Isolation. Pour les air gaps physiques, cela signifie retirer les cartouches de bande ou déconnecter les baies de disques amovibles de tous les systèmes et réseaux. Pour les air gaps logiques, la connectivité réseau est désactivée entre les cycles de sauvegarde, avec des fenêtres de réplication programmées nécessitant une authentification explicite à chaque transfert. Les coffres cloud appliquent l'isolation via des domaines de sécurité séparés avec accès API uniquement et authentification indépendante.
  • Phase 3 : Stockage sécurisé. Les copies isolées restent protégées, avec les supports physiques stockés dans des coffres-forts hors site sécurisés et les copies logiques maintenues derrière la segmentation réseau, des contrôles d'accès et des verrous d'immutabilité. Cette isolation des sauvegardes permet de conserver au moins une voie de récupération moins exposée lorsque les attaquants progressent dans les systèmes connectés.
  • Phase 4 : Restauration. Lorsque vous avez besoin des données, le processus s'inverse. Les supports physiques sont récupérés du stockage sécurisé et connectés manuellement. Les copies logiques sont accessibles via des chemins authentifiés et contrôlés. La restauration s'effectue dans un environnement de préproduction isolé pour vérification avant la reconnexion à la production.

Une fois le flux de travail compris, vous pouvez évaluer quel modèle d'implémentation convient le mieux à votre environnement.

Types d'architectures de sauvegarde air gapped

Vous disposez de trois choix d'architecture principaux, chacun avec des compromis distincts.

  1. Air gaps physiques utilisent des supports de stockage amovibles totalement déconnectés du réseau. Les cartouches de bande sont copiées, retirées physiquement et stockées hors site. Cette approche offre un faible coût de stockage par gigaoctet et la meilleure isolation contre les ransomwares. L'inconvénient est un accès lent aux données et une inadéquation pour les organisations nécessitant des restaurations rapides et fréquentes.
  2. Air gaps logiques utilisent la segmentation réseau, les restrictions de protocole et les contrôles d'accès pour créer une isolation sans retirer physiquement les supports. Les composants incluent des VLAN séparés avec contrôles pare-feu, l'élimination des protocoles couramment ciblés comme CIFS, NFS et SMB, et des flux de données unidirectionnels. Les air gaps logiques conviennent aux environnements d'entreprise où la déconnexion physique est impraticable. Ce modèle dépend d'une forte identité, segmentation et application des politiques.
  3. Coffres cloud air gapped créent des domaines de sécurité logiquement isolés dans l'infrastructure cloud. Ils utilisent une authentification séparée, l'immutabilité au niveau objet comme S3 Object Lock, un accès API uniquement et la MFA. Le stockage cloud seul ne constitue pas un air gap : des contrôles d'isolation supplémentaires sont nécessaires. Si votre environnement couvre l'infrastructure cloud et les sauvegardes d'applications cloud, vos contrôles de sécurité cloud déterminent la robustesse de cette séparation logique.

Le choix d'architecture définit vos contraintes de restauration. Les exemples ci-dessous illustrent chaque cas dans un environnement réel.

Exemples pratiques de sauvegardes air gapped

Comprendre l'architecture en théorie est une chose. La voir en pratique clarifie les décisions d'implémentation. Voici trois scénarios illustrant les sauvegardes air gapped dans différents environnements.

Air gap physique basé sur bande

Un industriel exploitant des systèmes de contrôle industriel sauvegarde chaque nuit les configurations OT critiques et les données d'historien de production sur bande LTO. Après chaque tâche, un technicien retire la cartouche, l'enregistre dans un registre de chaîne de garde et la stocke dans un coffre-fort ignifuge verrouillé hors de la zone de production. La bande n'est jamais connectée au réseau. En cas de restauration, la bande est récupérée, connectée à un poste isolé, analysée pour l'intégrité, puis utilisée pour la restauration. Le guide de sécurité ICS de la CISA identifie le stockage hors ligne des supports comme un contrôle de base pour les environnements technologiques opérationnels.

Air gap logique segmenté par le réseau

Une entreprise exécute un logiciel de sauvegarde sur un serveur renforcé situé sur un VLAN de sauvegarde dédié, séparé de tous les segments de production par une politique de pare-feu. SMB, NFS et CIFS sont désactivés sur ce segment. Lors des fenêtres de réplication programmées, un flux de données unidirectionnel copie les données de sauvegarde : chaque tâche nécessite une authentification protégée par MFA avec un compte de service sans autres privilèges réseau. Aucun endpoint de production joint au domaine ne peut atteindre directement le serveur de sauvegarde, coupant ainsi les chemins de déplacement latéral utilisés par les ransomwares pour localiser et détruire l'infrastructure de sauvegarde.

Air gap logique via coffre cloud

Une entreprise cloud-native stocke ses sauvegardes dans un bucket AWS S3 avec Object Lock activé en mode conformité, dans un compte AWS séparé du compte de production. Aucun rôle IAM du compte de production ne dispose de droits d'écriture ou de suppression sur le bucket de sauvegarde. Les tâches de sauvegarde s'exécutent via un appel API unidirectionnel authentifié avec un jeu d'identifiants dédié n'existant que dans le compte de sauvegarde. Même en cas de compromission totale du compte de production, un attaquant ne peut pas supprimer ou écraser le contenu du coffre pendant la période de rétention. Ce modèle est conforme aux recommandations CISA sur les sauvegardes derrière des identifiants et contrôles d'accès séparés.

Chacune de ces implémentations répond à l'exigence de copie hors ligne de la règle de sauvegarde moderne 3-2-1-1-0 : une copie hors ligne, immuable ou air gapped, avec zéro erreur confirmée par des tests de restauration et non par de simples sommes de contrôle. Ce cadre met en avant les principaux avantages des sauvegardes air gapped.

Principaux avantages des sauvegardes air gapped

Correctement mises en œuvre, les sauvegardes air gapped offrent quatre avantages en matière de sécurité et d'exploitation qu'aucune architecture de sauvegarde toujours connectée ne peut égaler.

  • Isolation face aux ransomwares. C'est la principale valeur ajoutée. Les sauvegardes air gapped éliminent les chemins réseau permettant la destruction des sauvegardes. L'isolation physique ou logique signifie que le ransomware exécuté sur les systèmes de production ne peut pas facilement atteindre la copie de sauvegarde.
  • Confiance dans la récupération. Les sauvegardes air gapped peuvent préserver des points de restauration moins exposés aux attaques actives. Les organisations avec des sauvegardes compromises doivent mener une analyse forensique pour déterminer quelles générations de sauvegarde sont fiables, ce qui peut allonger considérablement la récupération. Les architectures air gapped réduisent cette pression en limitant l'accès direct des attaquants à au moins une voie de restauration.
  • Alignement réglementaire. Les stratégies de sauvegarde air gapped sont conformes au NIST SP 800-209, soutiennent les attentes de planification de la continuité dans les environnements fédéraux et de santé, et répondent généralement aux objectifs de sauvegarde, de disponibilité et de contrôle d'accès des principaux référentiels de contrôle. Pour les secteurs réglementés, les architectures air gapped peuvent fournir une preuve défendable de contrôles de cybersécurité raisonnables.
  • Réduction de la menace interne. Les architectures air gapped réduisent la surface d'accès par conception. Même les utilisateurs privilégiés ne peuvent pas accéder aux référentiels de sauvegarde via les chemins réseau standards, nécessitant un accès physique ou des workflows à double approbation pour toute interaction avec les copies isolées. C'est le contrôle côté restauration qui empêche une compromission unique de devenir un événement fatal pour l'entreprise.

Ces avantages sont réels, mais soulèvent une question tout aussi importante : quelles organisations ont réellement besoin de sauvegardes air gapped, et à quel niveau ?

Qui a besoin de sauvegardes air gapped ?

La question n'est pas de savoir si votre organisation est assez grande ; c'est de savoir si vous pouvez vous permettre de perdre l'accès aux données de production sans copie de récupération vérifiée et résistante aux attaquants. Le tableau ci-dessous associe le type d'organisation à l'approche air gap la plus pratique et à son principal moteur.

Type d'organisationApproche recommandéeMoteur principal
Infrastructures critiques (énergie, services publics, OT)Air gap physique sur bandeExposition aux menaces étatiques, obligation réglementaire
Réseaux de santéAir gap logique ou coffre cloudPlanification HIPAA, récupération des données patients
Services financiersAir gap logique avec immutabilitéConformité FFIEC, PCI DSS, exigences RTO strictes
Entreprises de taille intermédiaireCoffre cloud avec Object LockEfficacité des coûts, capacité de stockage sur site limitée
Entreprises cloud-native et SaaSCoffre cloud dans un compte séparéPas d'infrastructure sur site, risque d'atteinte à la production
Agences gouvernementalesBande physique (chiffrement conforme FIPS)Planification FISMA, NIST SP 800-53

Les petites organisations supposent souvent que les sauvegardes air gapped sont hors de portée opérationnelle. En pratique, un coffre cloud avec Object Lock dans un compte séparé ne nécessite aucun matériel sur site et peut être configuré en quelques heures. Un cabinet médical de dix personnes a autant d'intérêt à protéger sa capacité de récupération qu'une grande entreprise ; l'arithmétique du ransomware est la même quel que soit l'effectif.

Connaître l'approche adaptée à votre environnement est essentiel, mais les sauvegardes air gapped comportent aussi de vrais compromis. Les comprendre avant le déploiement évite des choix architecturaux à devoir corriger sous pression.

Défis et limites des sauvegardes air gapped

Les sauvegardes air gapped ne sont pas une solution clé en main. Quatre défis conduisent régulièrement les équipes à mal configurer leur architecture ou à surestimer la protection réelle obtenue.

  • L'ambiguïté de la définition crée un faux sentiment de sécurité. La plupart des déploiements de sauvegarde « air gapped » ne le sont pas réellement. Un véritable air gap exige des systèmes non connectés physiquement et où toute connexion logique n'est pas autonome mais contrôlée manuellement. Vous devez savoir exactement quel type vous avez déployé.
  • Le paradoxe automatisation vs. véritable isolation. Les environnements d'entreprise font face à une tension fondamentale : un vrai air gap exige une intervention manuelle, mais les processus manuels à grande échelle génèrent des coûts prohibitifs. Tout chemin autonome, qu'il s'agisse de tâches rsync programmées, d'appels API ou d'agents de sauvegarde, crée des opportunités d'exploitation. Cette tension ne peut être totalement résolue, seulement gérée par des choix architecturaux délibérés.
  • Complexité opérationnelle et temps de restauration allongés. Les implémentations air gapped créent des frictions opérationnelles qui impactent directement les objectifs de restauration. La complexité accrue des processus de sauvegarde et de restauration peut entraîner des délais de récupération plus longs que les solutions toujours connectées, un paradoxe où la sécurité renforcée ralentit la récupération lors des incidents mêmes pour lesquels l'architecture a été conçue.
  • L'immutabilité n'est pas un air gap. Les organisations confondent fréquemment ces deux contrôles distincts. Une sauvegarde immuable contenant un ransomware ou un malware est inutile lors de la restauration et peut entraîner une réinfection. Une sauvegarde air gapped jamais analysée peut contenir des données corrompues. Les deux contrôles sont nécessaires, avec une compréhension claire de leur portée respective. Les erreurs d'implémentation les plus courantes surviennent lorsque ces distinctions sont floues dans les opérations quotidiennes.

C'est pourquoi il est utile de passer en revue les erreurs qui affaiblissent régulièrement des conceptions pourtant solides.

Erreurs courantes sur les sauvegardes air gapped

Même les architectures air gap bien conçues échouent en pratique lorsque les mêmes erreurs opérationnelles persistent. Ces six erreurs expliquent la majorité des environnements de sauvegarde qui semblent isolés mais restent accessibles.

  • Qualifier d'air gapped une isolation logique sans documenter le risque accepté. Lorsque vous mettez en place des systèmes de sauvegarde segmentés par le réseau avec des transferts programmés, vous avez une isolation logique, pas un véritable air gap. Documentez le risque accepté et compensez par des couches supplémentaires : MFA, RBAC, stockage immuable avec une rétention supérieure au temps de présence moyen des attaquants, et surveillance des anomalies.
  • Laisser l'infrastructure de sauvegarde sur le réseau de production. Laisser les systèmes de sauvegarde accessibles depuis les mêmes segments réseau que les systèmes de production est une erreur architecturale majeure. Segmentez l'infrastructure de sauvegarde sur des segments dédiés. Les interfaces de gestion ne doivent jamais être accessibles depuis les réseaux d'entreprise généraux.
  • Ignorer les identifiants par défaut sur les logiciels de sauvegarde. Certains logiciels de sauvegarde sont encore livrés avec des identifiants et mots de passe par défaut. Combiné à l'absence de MFA, cela offre une porte d'entrée directe aux attaquants. Supprimez les identifiants par défaut, imposez la MFA pour tout accès aux sauvegardes et mettez en place des workflows à double approbation pour les opérations destructrices comme la suppression de données avant expiration programmée.
  • Ne jamais tester les restaurations. C'est la lacune la plus fréquente. Le guide de réponse ransomware de la CISA insiste sur le test régulier des procédures de sauvegarde. Vous devez tester la restauration complète du système à partir de supports air gapped, pas seulement vérifier l'intégrité des fichiers. Programmez des tests de restauration complets réguliers vers des environnements isolés et mesurez les temps de récupération réels par rapport à vos exigences RTO.
  • Omettre l'analyse antimalware pré-gap. Sauvegarder des données compromises dans un environnement air gapped et immuable crée une copie empoisonnée que vous ne pouvez pas modifier. Le NIST SP 800-209 exige l'enregistrement des résultats d'analyse antimalware pour les copies de sauvegarde utilisées lors d'une récupération après incident cyber. Une analyse antimalware dédiée avant la sauvegarde valide l'intégrité des données avant leur entrée dans l'environnement isolé.
  • Considérer l'air gap comme une défense monocouche. Les sauvegardes air gapped comme unique stratégie de sauvegarde créent un point de défaillance unique. Suivez la règle 3-2-1-1-0 pour qu'aucune compromission d'une seule couche n'élimine toutes les capacités de récupération.

Une fois ces erreurs évitées, vous pouvez adopter les pratiques opérationnelles qui rendent la conception durable.

Bonnes pratiques pour les sauvegardes air gapped

Choisir le bon type d'architecture est un début, mais la discipline opérationnelle est ce qui maintient l'efficacité de l'isolation des sauvegardes dans le temps. Ces huit pratiques couvrent les domaines où les conceptions de sauvegarde air gapped se dégradent le plus souvent après le déploiement initial.

  1. Classifiez les données avant de concevoir l'architecture. Toutes les données n'ont pas besoin du même niveau d'air gap. Organisez les besoins de sauvegarde par obligation réglementaire, criticité métier, RPO et calendriers de rétention.
  2. Définissez RPO/RTO et testez-les. Si votre RPO est d'une heure, les sauvegardes doivent s'exécuter au moins toutes les heures. Si votre RTO est de quatre heures, votre processus de restauration air gapped doit être réalisable dans ce délai, récupération des supports comprise. Documentez ces chiffres et validez-les lors d'exercices programmés.
  3. Mettez en œuvre l'immutabilité sur tous les référentiels de sauvegarde. Activez les configurations à écriture unique ou verrouillées, non modifiables pendant la période de rétention. Cela complète l'air gap en empêchant toute modification même si un attaquant accède à l'environnement isolé. Utilisées ensemble, les sauvegardes immuables et air gapped renforcent vos options de récupération face aux ransomwares.
  4. Imposez la MFA et la double approbation pour toutes les opérations de sauvegarde. Tout chemin d'accès à l'infrastructure de sauvegarde nécessite la MFA, y compris l'accès administratif. Les opérations destructrices comme la suppression, la modification des politiques de rétention et la désactivation de l'immutabilité doivent exiger une double approbation de deux administrateurs distincts. Des contrôles forts sur la  sécurité des identités sont particulièrement importants lorsque l'isolation des sauvegardes dépend de workflows privilégiés.
  5. Analysez les sauvegardes avec des outils à jour avant et après stockage. Réanalysez périodiquement les copies de sauvegarde historiques avec des outils antimalware actualisés. Cela permet d'identifier les copies empoisonnées contenant des malwares non détectés lors de la sauvegarde. L'IA comportementale de votre plateforme de protection des endpoints offre une couche de validation supplémentaire.
  6. Surveillez les comportements ciblant les sauvegardes. La CISA recommande spécifiquement de surveiller l'utilisation anormale de vssadmin.exe, bcdedit.exe, wbadmin.exe, fsutil.exe avec deletejournal, et wmic.exe avec les commandes shadowcopy ou shadowstorage dans son guide de surveillance ransomware de la CISA. Votre plateforme XDR doit signaler ces activités comme prioritaires.
  7. Testez régulièrement les restaurations, simulez des désastres chaque année. Effectuez des tests de restauration complets vers des environnements isolés à intervalles réguliers. Réalisez des simulations annuelles de désastre reproduisant de véritables pertes de données, pas seulement des vérifications de fichiers. Le NIST IR 8576 exige des tests annuels de restauration à partir des procédures de sauvegarde.
  8. Restaurez dans un environnement de préproduction isolé, pas en production. Les copies de récupération air gapped doivent être restaurées dans un environnement isolé dédié où vous vérifiez la propreté des systèmes avant leur retour en production. Exécutez des outils d'analyse comportementale dans l'environnement de préproduction pour confirmer l'absence de réinfection avant la reconnexion.

Ces pratiques rendent votre conception de sauvegarde plus résiliente lors d'incidents réels. Elles préparent aussi les exemples d'incidents illustrant ce qui se passe lorsque les chemins de récupération sont accessibles ou non vérifiés.

Incidents ransomware réels et leçons sur les sauvegardes

Les incidents réels concrétisent le risque lié aux sauvegardes.

  1. Norsk Hydro, 2019, ransomware LockerGoga. Lorsque LockerGoga a frappé en mars 2019, Norsk Hydro a déclaré une crise d'entreprise et est passé à des opérations manuelles dans 40 pays alors que le ransomware verrouillait des milliers de serveurs et PC. L'entreprise a ensuite signalé des pertes de 550 à 650 millions NOK pour le premier semestre 2019. L'incident a montré comment une perturbation opérationnelle peut s'étendre à toute l'organisation même si la production continue en mode dégradé — et comment la résilience des sauvegardes a permis à Norsk Hydro de restaurer les systèmes sans payer la rançon.
  2. Colonial Pipeline, 2021, ransomware DarkSide. L'entreprise a arrêté les opérations du pipeline après l'attaque, et le DOJ a ensuite récupéré 2,3 millions de dollars sur les 75 bitcoins de rançon payés. L'avis DarkSide de la CISA a documenté comment l'attaque sur les systèmes métiers a provoqué une perturbation majeure des infrastructures critiques.
  3. MGM Resorts, 2023, ingénierie sociale et perturbation liée au ransomware. Après que des attaquants ont utilisé l'ingénierie sociale pour compromettre l'infrastructure d'identité de MGM, l'entreprise a arrêté ses opérations dans ses hôtels et casinos pour contenir la violation. MGM a ensuite signalé un impact EBITDAR de 100 millions de dollars pour septembre 2023. L'événement a montré comment une compromission d'identité peut entraîner une panne généralisée, d'où l'importance de coupler l'isolation des sauvegardes à des contrôles d'identité.

Ces incidents mènent directement à la question finale : comment associer la résilience de la récupération à des contrôles empêchant les attaquants de corrompre, supprimer ou atteindre vos chemins de sauvegarde ?

Cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

Les sauvegardes air gapped offrent une approche architecturale pour conserver au moins une copie de récupération hors de portée des attaques réseau courantes. L'isolation est une composante essentielle de tout plan de récupération ransomware défendable. 

Mettez en œuvre des sauvegardes air gapped selon la règle 3-2-1-1-0, testez régulièrement les restaurations, analysez avant et après stockage, et associez l'isolation des sauvegardes à la prévention par IA comportementale pour stopper les menaces avant qu'elles n'atteignent votre infrastructure de sauvegarde. Si vous comptez sur des sauvegardes hors ligne et immuables dans le cadre de votre plan global de cyberrésilience, une validation régulière reste nécessaire pour garantir une récupération fiable face aux ransomwares.

FAQ

Les sauvegardes à isolation physique (« air gapped ») sont des copies isolées de données critiques, séparées physiquement ou logiquement des réseaux de production. Les isolations physiques utilisent des supports hors ligne comme des bandes qui sont retirées et stockées hors site. Les isolations logiques reposent sur la segmentation réseau, des contrôles d'accès stricts et l'immutabilité pour limiter la portée des attaquants. 

Les deux approches visent à conserver au moins une copie de récupération hors de portée des attaques basées sur le réseau, y compris les ransomwares qui ciblent spécifiquement l'infrastructure de sauvegarde avant de déclencher le chiffrement en production.

Les sauvegardes immuables empêchent la modification ou la suppression après l’écriture des données, mais elles peuvent rester accessibles via le réseau. Les sauvegardes déconnectées isolent les données de l’accès réseau habituel, mais elles ne garantissent pas que la copie était saine au moment de sa création. 

Vous avez besoin des deux contrôles pour une résilience renforcée : l’immuabilité aide à bloquer toute altération, tandis que la déconnexion réduit la portée des attaquants. Votre plan de récupération après ransomware doit également inclure l’analyse des malwares, les contrôles d’accès et les tests de restauration.

Le NIST SP 800-209 recommande des tests d'intégrité réguliers pour les données critiques, et le NIST IR 8576 précise des tests annuels pour les procédures de restauration à partir de sauvegardes. 

En pratique, vous devez valider régulièrement l'intégrité des sauvegardes critiques, effectuer des exercices complets de restauration dans un environnement de préproduction isolé au moins une fois par an, et mesurer le temps réel de récupération par rapport à vos objectifs RTO et RPO documentés lors de chaque exercice. Des tests plus fréquents sont recommandés pour vos systèmes les plus critiques.

Les sauvegardes cloud peuvent être considérées comme logiquement Air Gapped lorsque vous les isolez via des domaines de sécurité distincts, une authentification indépendante, l'immuabilité au niveau des objets et un accès uniquement via API avec MFA. Le stockage cloud standard seul ne crée pas d'air gap. 

Vous devez configurer la séparation de manière délibérée, documenter clairement les limites de contrôle et vérifier que vos identifiants de production ne peuvent pas accéder, modifier ou supprimer directement l'ensemble de sauvegarde protégé lors des opérations normales.

Le plus grand risque est de supposer que vous disposez d'une véritable séparation physique alors qu'il s'agit en réalité d'une isolation logique avec des workflows autonomes. Toute tâche de réplication planifiée, appel d'API ou connexion d'agent de sauvegarde crée un chemin accessible que des attaquants sophistiqués peuvent exploiter. 

Vous devez auditer votre architecture de manière objective, la classer correctement et ajouter des contrôles compensatoires tels que l'immutabilité, l'authentification multifacteur, la segmentation, les workflows d'approbation et des tests de restauration répétés afin que votre conception de reprise corresponde à votre exposition réelle.

Les sauvegardes isolées physiquement s’alignent sur les principes de  Zero Trust en imposant une vérification explicite au niveau de l’infrastructure de sauvegarde. Chaque demande d’accès nécessite une authentification, l’autorisation suit le principe du moindre privilège via le RBAC, et toute activité reste consignée et traçable. 

L’isolation physique ajoute une restriction supplémentaire en supprimant l’accès réseau habituel entre les cycles de sauvegarde. Les workflows à double approbation pour les opérations destructrices constituent un contrôle additionnel, ce qui permet d’éviter qu’un compte compromis ne détruise votre capacité de restauration ou n’affaiblisse votre posture de cyber-résilience.

En savoir plus sur Cybersécurité

Qu'est-ce que le modèle Purdue ? Définition, niveaux et bonnes pratiquesCybersécurité

Qu'est-ce que le modèle Purdue ? Définition, niveaux et bonnes pratiques

Le modèle Purdue est la norme fédérale pour la segmentation des réseaux ICS, organisant les environnements OT en six niveaux hiérarchiques avec des frontières de confiance renforcées.

En savoir plus
Qu'est-ce qu'une Secure Web Gateway (SWG) ? Défense réseau expliquéeCybersécurité

Qu'est-ce qu'une Secure Web Gateway (SWG) ? Défense réseau expliquée

Les Secure Web Gateways filtrent le trafic web, bloquent les malwares et appliquent des politiques pour les effectifs distribués. Découvrez les composants SWG, les modèles de déploiement et les meilleures pratiques.

En savoir plus
Qu'est-ce que l'injection de commandes système ? Exploitation, impact et défenseCybersécurité

Qu'est-ce que l'injection de commandes système ? Exploitation, impact et défense

L'injection de commandes système (CWE-78) permet aux attaquants d'exécuter des commandes arbitraires via des entrées non filtrées. Découvrez les techniques d'exploitation, des CVE réels et les mesures de défense.

En savoir plus
Statistiques sur les malwaresCybersécurité

Statistiques sur les malwares

Découvrez les dernières statistiques sur les malwares pour 2026 dans les domaines du cloud et de la cybersécurité. Voyez à quoi les organisations sont confrontées, préparez vos prochains investissements et plus encore.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français