Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiques
Cybersecurity 101/Cybersécurité/Sauvegardes Air Gapped

Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiques

Les sauvegardes Air Gapped conservent au moins une copie de récupération hors de portée des attaquants. Découvrez leur fonctionnement, les types, des exemples et les meilleures pratiques pour la récupération après ransomware.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que les sauvegardes air gapped ?
Les sauvegardes air gapped comme contrôle de cybersécurité
Composants essentiels des sauvegardes air gapped
Fonctionnement des sauvegardes air gapped
Types d'architectures de sauvegarde air gapped
Exemples pratiques de sauvegardes air gapped
Air gap physique basé sur bande
Air gap logique segmenté par réseau
Coffre-fort cloud air gap logique
Principaux avantages des sauvegardes air gapped
Qui a besoin de sauvegardes air gapped ?
Défis et limites des sauvegardes air gapped
Erreurs courantes sur les sauvegardes air gapped
Bonnes pratiques pour les sauvegardes air gapped
Incidents ransomware réels et leçons sur les sauvegardes
Points clés à retenir

Articles similaires

  • Sécurité IT vs OT : Principales différences et meilleures pratiques
  • Qu'est-ce que la sécurité OT ? Définition, défis et meilleures pratiques
  • Qu'est-ce que l'Analyse de la Composition Logicielle (SCA) ?
  • Qu'est-ce qu'une attaque Golden Ticket ?
Auteur: SentinelOne
Mis à jour: April 21, 2026

Qu'est-ce que les sauvegardes air gapped ?

Les opérateurs de ransomware ciblent désormais l'infrastructure de sauvegarde avant de chiffrer les données de production. Selon l'étude de CISA sur le coût des incidents cyber, le coût moyen par incident de violation atteint 5,9 millions de dollars, c'est pourquoi votre dernière ligne de défense n'est utile que si les attaquants ne peuvent pas l'atteindre.

Les sauvegardes air gapped sont des copies isolées de données critiques, séparées physiquement ou logiquement des réseaux de production. Elles créent une barrière protectrice en établissant des environnements à accès contrôlé, inaccessibles aux attaques réseau. Que ce soit via des supports sur bande physiquement déconnectés, un stockage segmenté par réseau avec des contrôles d'accès stricts, ou des coffres-forts cloud isolés logiquement, les sauvegardes air gapped garantissent qu'au moins une copie de récupération reste plus difficile à atteindre pour les attaquants lors de leurs déplacements latéraux dans votre environnement.

Le NIST SP 800-209 établit que les opérations de sauvegarde peuvent inclure des dispositifs de stockage hors ligne, tandis que le guide ransomware de la CISA recommande aux organisations de maintenir des sauvegardes hors ligne car les ransomwares tentent souvent de supprimer ou de chiffrer les données de sauvegarde accessibles.

Les sauvegardes air gapped comme contrôle de cybersécurité

Les sauvegardes air gapped se situent à l'intersection de la protection des données et de la résilience face aux ransomwares. Les familles de ransomwares modernes effectuent une reconnaissance spécifique pour localiser les serveurs de sauvegarde, supprimer les copies de l'ombre et chiffrer les référentiels de sauvegarde avant de déclencher le chiffrement en production. Le guide de réponse ransomware de la CISA recommande aux organisations de « maintenir des sauvegardes hors ligne et chiffrées des données critiques » car les variantes modernes de ransomware « tendent à rechercher puis supprimer ou chiffrer les sauvegardes accessibles ».

Lorsque votre protection des endpoints détecte et bloque une tentative de ransomware via l'IA comportementale, la menace s'arrête là. Mais lorsque les défenses sont contournées ou neutralisées, les sauvegardes air gapped peuvent offrir une voie de récupération en dehors du périmètre immédiat d'une attaque réseau. Pour comprendre comment cette protection fonctionne en pratique, il faut décomposer l'architecture en ses composants essentiels.

Composants essentiels des sauvegardes air gapped

Toute architecture de sauvegarde air gapped, quel que soit son type, repose sur les mêmes six couches. Chacune doit être respectée pour que l'isolation soit effective.

  • Couche de stockage isolé. L'environnement physique ou logique où résident les copies de sauvegarde, incluant les bibliothèques de bandes, les baies de disques amovibles, les systèmes segmentés par réseau ou les domaines de sécurité cloud isolés avec authentification séparée.
  • Mécanismes de transfert. Les données sont transférées de la production vers la couche de stockage isolée via des chemins contrôlés, qu'il s'agisse de transport manuel ou robotisé de supports, ou de réplications programmées avec des flux de données unidirectionnels empêchant toute contamination inverse.
  • Couche d'immutabilité. Une fois les données dans l'environnement air gapped, elles doivent résister à toute modification ou suppression grâce à des supports sur bande à écriture unique, des verrous de rétention logiciels ou des modes de conformité de stockage objet.
  • Contrôles d'accès. Les implémentations physiques reposent sur des accès par clé ou combinaison avec journalisation des entrées. Les implémentations logiques exigent un contrôle d'accès basé sur les rôles, une authentification multifacteur, l'application du principe du moindre privilège et la journalisation des accès. Le guide de protection des données de la CISA exige la MFA pour l'accès administratif et un accès basé sur les rôles avec application du moindre privilège sur les systèmes protégés.
  • Chiffrement. Les données de sauvegarde doivent être chiffrées au repos et en transit. Le guide des standards de chiffrement de la CISA spécifie FIPS 140-2 pour les données en transit et au repos, ou des mécanismes de chiffrement renforcés. Les systèmes de gestion des clés de chiffrement doivent rester isolés des données de sauvegarde pour éviter qu'une compromission unique n'expose les deux.
  • Infrastructure de vérification. Vous devez pouvoir confirmer l'intégrité des sauvegardes via des contrôles réguliers d'intégrité, des sommes de contrôle, des routines de vérification de sauvegarde et des tests de restauration.

Une faiblesse dans une seule couche peut compromettre toute l'architecture. L'étape suivante consiste à comprendre comment ces couches fonctionnent à travers la sauvegarde, l'isolation, le stockage et la récupération.

Fonctionnement des sauvegardes air gapped

Les sauvegardes air gapped suivent un cycle en quatre phases : capture, isolation, stockage sécurisé et récupération contrôlée. Chaque phase comporte des exigences spécifiques qui déterminent la robustesse de l'architecture lorsqu'un attaquant atteint votre environnement.

  • Phase 1 : Sauvegarde et capture. Les données de production sont copiées vers la cible de sauvegarde via vos processus standards. Avant d'entrer dans l'environnement air gapped, une analyse antimalware valide l'intégrité. L'analyse pré-gap est essentielle car sauvegarder des données compromises dans un environnement air gapped et immuable crée une copie corrompue pouvant entraîner une réinfection lors de la restauration.
  • Phase 2 : Isolation. Pour les air gaps physiques, cela signifie retirer les cartouches de bande ou déconnecter les baies de disques amovibles de tous les systèmes et réseaux. Pour les air gaps logiques, la connectivité réseau est désactivée entre les cycles de sauvegarde, avec des fenêtres de réplication programmées nécessitant une authentification explicite à chaque transfert. Les coffres-forts cloud appliquent l'isolation via des domaines de sécurité séparés avec accès API uniquement et authentification indépendante.
  • Phase 3 : Stockage sécurisé. Les copies isolées restent protégées, avec des supports physiques stockés dans des coffres-forts hors site sécurisés et des copies logiques maintenues derrière une segmentation réseau, des contrôles d'accès et des verrous d'immutabilité. Cette isolation de la sauvegarde permet de conserver au moins une voie de récupération moins exposée lorsque les attaquants progressent dans les systèmes connectés.
  • Phase 4 : Restauration. Lorsque vous avez besoin des données, le processus s'inverse. Les supports physiques sont récupérés du stockage sécurisé et connectés manuellement. Les copies logiques sont accessibles via des chemins authentifiés et contrôlés. La restauration s'effectue dans un environnement de préproduction isolé pour vérification avant la reconnexion à la production.

Une fois le flux de travail compris, vous pouvez évaluer quel modèle d'implémentation convient le mieux à votre environnement.

Types d'architectures de sauvegarde air gapped

Vous disposez de trois choix d'architecture principaux, chacun avec des compromis distincts.

  1. Air gap physique utilise des supports de stockage amovibles totalement déconnectés du réseau. Les cartouches de bande sont copiées, retirées physiquement et stockées hors site. Cette approche offre un faible coût de stockage par gigaoctet et la meilleure isolation contre les ransomwares. L'inconvénient est un accès lent aux données et une inadéquation pour les organisations nécessitant des restaurations rapides et fréquentes.
  2. Air gap logique utilise la segmentation réseau, les restrictions de protocole et les contrôles d'accès pour créer une isolation sans retirer physiquement les supports. Les composants incluent des VLAN séparés avec contrôles pare-feu, l'élimination des protocoles fréquemment ciblés comme CIFS, NFS et SMB, et des flux de données unidirectionnels. Les air gaps logiques conviennent aux environnements d'entreprise où la déconnexion physique est impraticable. Ce modèle dépend d'une forte gestion des identités, de la segmentation et de l'application des politiques.
  3. Coffres-forts cloud air gapped créent des domaines de sécurité logiquement isolés dans l'infrastructure cloud. Ils utilisent une authentification séparée, l'immutabilité au niveau objet comme S3 Object Lock, un accès API uniquement et la MFA. Le stockage cloud seul ne constitue pas un air gap : des contrôles d'isolation supplémentaires sont nécessaires. Si votre environnement couvre l'infrastructure cloud et les sauvegardes d'applications cloud, vos contrôles de sécurité cloud déterminent la robustesse de cette séparation logique.

Le choix d'architecture définit vos contraintes de récupération. Les exemples ci-dessous illustrent chaque modèle dans un environnement réel.

Exemples pratiques de sauvegardes air gapped

Comprendre l'architecture en théorie est une chose. La voir en pratique clarifie les décisions d'implémentation. Voici trois scénarios illustrant les sauvegardes air gapped dans différents environnements.

Air gap physique basé sur bande

Un industriel exploitant des systèmes de contrôle industriel sauvegarde chaque nuit les configurations OT critiques et les données historiques de production sur bande LTO. Après chaque tâche, un technicien retire la cartouche, l'enregistre dans un registre de chaîne de possession et la stocke dans un coffre-fort ignifuge verrouillé hors de la zone de production. La bande ne maintient aucune connexion réseau à aucun moment. En cas de restauration, la bande est récupérée, connectée à un poste isolé, analysée pour l'intégrité, puis utilisée pour la restauration. Le guide de sécurité ICS de la CISA identifie le stockage sur support hors ligne comme un contrôle de base pour les environnements technologiques opérationnels.

Air gap logique segmenté par réseau

Une entreprise exécute un logiciel de sauvegarde sur un serveur renforcé situé sur un VLAN de sauvegarde dédié, séparé de tous les segments de production par une politique de pare-feu. SMB, NFS et CIFS sont désactivés sur ce segment. Lors des fenêtres de réplication programmées, un flux de données unidirectionnel copie les données de sauvegarde : chaque tâche nécessite une authentification protégée par MFA avec un compte de service sans autres privilèges réseau. Aucun endpoint de production joint au domaine ne peut atteindre directement le serveur de sauvegarde, coupant ainsi les chemins de déplacement latéral utilisés par les ransomwares pour localiser et détruire l'infrastructure de sauvegarde.

Coffre-fort cloud air gap logique

Une entreprise cloud-native stocke ses sauvegardes dans un bucket AWS S3 avec Object Lock activé en mode conformité, dans un compte AWS séparé isolé du compte de production. Aucun rôle IAM dans l'environnement de production ne détient de droits d'écriture ou de suppression sur le bucket de sauvegarde. Les tâches de sauvegarde s'exécutent via un appel API unidirectionnel authentifié avec un jeu d'identifiants dédié n'existant que dans le compte de sauvegarde. Même en cas de compromission totale du compte de production, un attaquant ne peut pas supprimer ou écraser le contenu du coffre pendant la période de rétention. Ce modèle est conforme aux recommandations CISA sur la sauvegarde derrière des identifiants et contrôles d'accès séparés.

Chacune de ces implémentations répond à l'exigence de copie hors ligne de la règle de sauvegarde moderne 3-2-1-1-0 : une copie hors ligne, immuable ou air gapped, avec zéro erreur confirmée par des tests de restauration et non par de simples sommes de contrôle. Ce cadre met en avant les principaux avantages des sauvegardes air gapped.

Principaux avantages des sauvegardes air gapped

Correctement mises en œuvre, les sauvegardes air gapped offrent quatre avantages en matière de sécurité et d'exploitation qu'aucune architecture de sauvegarde toujours connectée ne peut égaler.

  • Isolation contre les ransomwares. C'est la principale valeur ajoutée. Les sauvegardes air gapped éliminent les chemins réseau permettant la destruction des sauvegardes. L'isolation physique ou logique signifie que le ransomware exécuté sur les systèmes de production ne peut pas facilement atteindre la copie de sauvegarde.
  • Confiance dans la récupération. Les sauvegardes air gapped peuvent préserver des points de restauration moins exposés aux attaques actives. Les organisations avec des sauvegardes compromises doivent mener une analyse forensique pour déterminer quelles générations de sauvegarde sont fiables, ce qui peut allonger considérablement la récupération. Les architectures air gapped réduisent cette pression en limitant l'accès direct des attaquants à au moins une voie de récupération.
  • Alignement réglementaire. Les stratégies de sauvegarde air gapped sont conformes au NIST SP 800-209, soutiennent les attentes de planification de la continuité dans les environnements fédéraux et de santé, et répondent généralement aux objectifs de sauvegarde, de disponibilité et de contrôle d'accès des principaux référentiels de contrôle. Pour les secteurs réglementés, les architectures air gapped peuvent fournir une preuve défendable de contrôles de cybersécurité raisonnables.
  • Réduction de la menace interne. Les architectures air gapped réduisent la surface d'accès par conception. Même les utilisateurs privilégiés ne peuvent pas accéder aux référentiels de sauvegarde via les chemins réseau standards, nécessitant un accès physique ou des workflows à double approbation pour toute interaction avec les copies isolées. C'est le contrôle côté récupération qui empêche une compromission unique de devenir un événement fatal pour l'entreprise.

Ces avantages sont réels, mais soulèvent une question tout aussi importante : quelles organisations ont réellement besoin de sauvegardes air gapped, et à quel niveau ?

Qui a besoin de sauvegardes air gapped ?

La question n'est pas de savoir si votre organisation est assez grande ; c'est de savoir si vous pouvez vous permettre de perdre l'accès aux données de production sans copie de récupération vérifiée et résistante aux attaquants. Le tableau ci-dessous associe le type d'organisation à l'approche air gap la plus pratique et à son principal moteur.

Type d'organisationApproche recommandéeMoteur principal
Infrastructures critiques (énergie, services publics, OT)Air gap physique sur bandeExposition aux menaces étatiques, obligation réglementaire
Réseaux de santéAir gap logique ou coffre-fort cloudPlanification de contingence HIPAA, récupération des données patients
Services financiersAir gap logique avec immutabilitéConformité FFIEC, PCI DSS, exigences RTO strictes
Entreprises mid-marketCoffre-fort cloud avec Object LockEfficacité des coûts, capacité de stockage sur site limitée
Entreprises cloud-native et SaaSCoffre-fort cloud dans un compte séparéPas d'infrastructure sur site, risque d'atteinte à la production
Agences gouvernementalesBande physique (chiffrement conforme FIPS)Planification de contingence FISMA, NIST SP 800-53

Les petites organisations supposent souvent que les sauvegardes air gapped sont hors de portée opérationnelle. En pratique, un coffre-fort cloud avec Object Lock dans un compte séparé ne nécessite aucun matériel sur site et peut être configuré en quelques heures. Un cabinet médical de dix personnes a autant d'intérêt à protéger sa capacité de récupération qu'une grande entreprise ; l'arithmétique du ransomware est la même quel que soit l'effectif.

Identifier l'approche adaptée à votre environnement est essentiel, mais les sauvegardes air gapped comportent aussi de réels compromis. Les comprendre avant le déploiement évite des choix architecturaux à devoir corriger sous pression.

Défis et limites des sauvegardes air gapped

Les sauvegardes air gapped ne sont pas une solution clé en main. Quatre défis conduisent régulièrement les équipes à mal configurer leur architecture ou à surestimer la protection réellement offerte.

  • L'ambiguïté de la définition crée un faux sentiment de sécurité. La plupart des déploiements de sauvegarde « air gapped » ne le sont pas réellement. Un véritable air gap exige des systèmes non connectés physiquement et où toute connexion logique n'est pas autonome mais contrôlée manuellement. Vous devez savoir exactement quel type vous avez déployé.
  • Le paradoxe automatisation vs. véritable isolation. Les environnements d'entreprise font face à une tension fondamentale : un véritable air gap exige une intervention manuelle, mais les processus manuels à grande échelle génèrent des coûts prohibitifs. Tout chemin autonome, qu'il s'agisse de tâches rsync programmées, d'appels API ou d'agents de sauvegarde, crée des opportunités d'exploitation. Cette tension ne peut être totalement résolue, seulement gérée par des choix architecturaux délibérés.
  • Complexité opérationnelle et temps de récupération allongés. Les implémentations air gapped créent des frictions opérationnelles qui impactent directement les objectifs de récupération. La complexité accrue des processus de sauvegarde et de restauration peut entraîner des délais de récupération plus longs que les solutions toujours connectées, un paradoxe où la sécurité renforcée ralentit la récupération lors des incidents mêmes pour lesquels l'architecture a été conçue.
  • L'immutabilité n'est pas un air gap. Les organisations confondent fréquemment ces deux contrôles distincts. Une sauvegarde immuable contenant un ransomware ou un malware est inutile lors de la restauration et peut entraîner une réinfection. Une sauvegarde air gapped jamais analysée peut contenir des données corrompues. Les deux contrôles sont nécessaires, avec une compréhension claire de leur portée respective. Les erreurs d'implémentation les plus courantes surviennent lorsque ces distinctions sont floues dans les opérations quotidiennes.

C'est pourquoi il est utile de passer en revue les erreurs qui affaiblissent régulièrement des conceptions pourtant solides.

Erreurs courantes sur les sauvegardes air gapped

Même les architectures air gap bien conçues échouent en pratique lorsque les mêmes erreurs opérationnelles persistent. Ces six erreurs expliquent la majorité des environnements de sauvegarde qui semblent isolés mais restent accessibles.

  • Qualifier d'« air gapped » une isolation logique sans documenter le risque accepté. Lorsque vous mettez en place des systèmes de sauvegarde segmentés par réseau avec des transferts programmés, vous avez une isolation logique, pas un véritable air gap. Documentez le risque accepté et compensez par des couches supplémentaires : MFA, RBAC, stockage immuable avec une rétention supérieure au temps de présence moyen des attaquants, et surveillance des anomalies.
  • Laisser l'infrastructure de sauvegarde sur le réseau de production. Laisser les systèmes de sauvegarde accessibles depuis les mêmes segments réseau que les systèmes de production est une erreur architecturale majeure. Segmentez l'infrastructure de sauvegarde sur des segments dédiés. Les interfaces de gestion ne doivent jamais être accessibles depuis les réseaux d'entreprise généraux.
  • Ignorer les identifiants par défaut sur les logiciels de sauvegarde. Certains logiciels de sauvegarde sont encore livrés avec des identifiants et mots de passe par défaut. Combiné à l'absence de MFA, cela offre une porte d'entrée directe aux attaquants. Supprimez les identifiants par défaut, imposez la MFA pour tout accès aux sauvegardes et mettez en place des workflows à double approbation pour les opérations destructrices comme la suppression de données avant expiration programmée.
  • Ne jamais tester les restaurations. C'est la lacune la plus fréquente. Le guide de réponse ransomware de la CISA insiste sur la nécessité de tester régulièrement les procédures de sauvegarde. Vous devez tester la restauration complète du système à partir de supports air gapped, pas seulement vérifier l'intégrité des fichiers. Programmez des tests de restauration complets réguliers vers des environnements isolés et mesurez les temps de récupération réels par rapport à vos exigences RTO.
  • Omettre l'analyse antimalware pré-gap. Sauvegarder des données compromises dans un environnement air gapped et immuable crée une copie corrompue impossible à modifier. Le NIST SP 800-209 exige l'enregistrement des résultats d'analyse antimalware pour les copies de sauvegarde utilisées lors de la récupération après incident cyber. Une analyse antimalware dédiée avant la sauvegarde valide l'intégrité des données avant leur entrée dans l'environnement isolé.
  • Considérer l'air gap comme une défense monocouche. Les sauvegardes air gapped comme unique stratégie de sauvegarde créent un point de défaillance unique. Suivez la règle 3-2-1-1-0 pour qu'aucune compromission d'une seule couche n'élimine toutes les capacités de récupération.

Une fois ces erreurs évitées, vous pouvez adopter les pratiques opérationnelles qui rendent la conception durable.

Bonnes pratiques pour les sauvegardes air gapped

Choisir le bon type d'architecture est un début, mais la discipline opérationnelle maintient l'efficacité de l'isolation des sauvegardes dans le temps. Ces huit pratiques couvrent les domaines où les conceptions de sauvegarde air gapped se dégradent le plus souvent après le déploiement initial.

  1. Classifiez les données avant de concevoir l'architecture. Toutes les données ne nécessitent pas la même approche air gap. Organisez les besoins de sauvegarde selon les obligations réglementaires, la criticité métier, le RPO et les calendriers de rétention.
  2. Définissez le RPO/RTO et testez-les. Si votre RPO est d'une heure, les sauvegardes doivent s'exécuter au moins toutes les heures. Si votre RTO est de quatre heures, votre processus de restauration air gapped doit être achevé dans ce délai, récupération de supports comprise. Documentez ces chiffres et validez-les lors d'exercices programmés.
  3. Mettez en œuvre l'immutabilité sur tous les référentiels de sauvegarde. Activez les configurations à écriture unique ou verrouillées, non modifiables pendant la période de rétention. Cela complète l'air gap en empêchant toute modification même si un attaquant accède à l'environnement isolé. Utilisées ensemble, les sauvegardes immuables et air gapped renforcent vos options de récupération face au ransomware.
  4. Imposez la MFA et la double approbation pour toutes les opérations de sauvegarde. Tout chemin d'accès à l'infrastructure de sauvegarde nécessite la MFA, y compris l'accès administratif. Les opérations destructrices comme la suppression, la modification des politiques de rétention et la désactivation de l'immutabilité doivent exiger une double approbation de deux administrateurs distincts. Des contrôles solides sur la  sécurité des identités sont particulièrement importants lorsque l'isolation des sauvegardes dépend de workflows privilégiés.
  5. Analysez les sauvegardes avec des outils à jour avant et après stockage. Réanalysez périodiquement les copies de sauvegarde historiques avec des outils antimalware actualisés. Cela permet d'identifier les copies corrompues contenant des malwares non détectés lors de la sauvegarde. L'IA comportementale de votre plateforme de protection des endpoints offre une couche de validation supplémentaire.
  6. Surveillez les comportements ciblant les sauvegardes. La CISA recommande spécifiquement de surveiller l'utilisation anormale de vssadmin.exe, bcdedit.exe, wbadmin.exe, fsutil.exe avec deletejournal, et wmic.exe avec les commandes shadowcopy ou shadowstorage dans son guide de surveillance ransomware CISA. Votre plateforme XDR doit signaler ces activités comme prioritaires.
  7. Testez régulièrement les restaurations, simulez des désastres annuellement. Effectuez des tests de restauration complets vers des environnements isolés à intervalles réguliers. Réalisez des simulations annuelles de désastre reproduisant de véritables pertes de données, pas seulement des vérifications de fichiers. Le NIST IR 8576 exige des tests annuels de restauration à partir des procédures de sauvegarde.
  8. Restaurez dans un environnement de préproduction isolé, pas en production. Les copies de récupération air gapped doivent être restaurées dans un environnement isolé dédié où vous vérifiez la propreté des systèmes avant leur retour en production. Exécutez des outils d'analyse comportementale dans l'environnement de préproduction pour confirmer l'absence de réinfection avant la reconnexion.

Ces pratiques rendent votre conception de sauvegarde plus résiliente lors d'incidents réels. Elles préparent aussi les exemples d'incidents illustrant ce qui se passe lorsque les chemins de récupération sont accessibles ou non vérifiés.

Incidents ransomware réels et leçons sur les sauvegardes

Les incidents réels concrétisent le risque lié aux sauvegardes.

  1. Norsk Hydro, 2019, ransomware LockerGoga. Lorsque LockerGoga a frappé en mars 2019, Norsk Hydro a déclaré une crise d'entreprise et est passé à des opérations manuelles dans 40 pays alors que le ransomware verrouillait des milliers de serveurs et PC. L'entreprise a ensuite signalé des pertes de 550 à 650 millions NOK pour le premier semestre 2019. L'incident a montré comment la perturbation opérationnelle peut s'étendre à toute l'organisation même si la production continue en mode dégradé — et comment la résilience des sauvegardes a permis à Norsk Hydro de restaurer ses systèmes sans payer la rançon.
  2. Colonial Pipeline, 2021, ransomware DarkSide. L'entreprise a arrêté les opérations du pipeline après l'attaque, et le DOJ a ensuite récupéré 2,3 millions de dollars sur les 75 bitcoins de rançon payés. L'avis CISA sur DarkSide a documenté comment l'attaque sur les systèmes métiers a provoqué une perturbation majeure des infrastructures critiques.
  3. MGM Resorts, 2023, ingénierie sociale et perturbation liée au ransomware. Après que des attaquants ont utilisé l'ingénierie sociale pour compromettre l'infrastructure d'identité de MGM, l'entreprise a arrêté ses opérations dans ses hôtels et casinos pour contenir la violation. MGM a ensuite signalé un impact EBITDAR de 100 millions de dollars pour septembre 2023. L'événement a montré comment une compromission d'identité peut entraîner une panne généralisée, d'où l'importance de ne pas se reposer uniquement sur l'isolation des sauvegardes sans contrôles d'identité.

Ces incidents mènent directement à la question finale : comment associer la résilience de la récupération à des contrôles empêchant les attaquants de corrompre, supprimer ou atteindre vos chemins de sauvegarde ?

Cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

Les sauvegardes air gapped offrent une solution architecturale pour conserver au moins une copie de récupération hors de portée des attaques réseau courantes. L'isolation est une composante essentielle de tout plan de récupération ransomware défendable. 

Mettez en œuvre des sauvegardes air gapped selon la règle 3-2-1-1-0, testez régulièrement les restaurations, analysez avant et après stockage, et associez l'isolation des sauvegardes à la prévention par IA comportementale pour stopper les menaces avant qu'elles n'atteignent votre infrastructure de sauvegarde. Si vous comptez sur des sauvegardes hors ligne et immuables dans le cadre de votre plan global de cyberrésilience, une validation régulière reste nécessaire pour garantir une récupération fiable face au ransomware.

FAQ

Les sauvegardes à isolation physique (« air gapped ») sont des copies isolées de données critiques, séparées physiquement ou logiquement des réseaux de production. Les isolations physiques utilisent des supports hors ligne comme des bandes qui sont retirées et stockées hors site. Les isolations logiques reposent sur la segmentation réseau, des contrôles d'accès stricts et l'immutabilité pour limiter la portée des attaquants. 

Les deux approches visent à conserver au moins une copie de récupération hors de portée des attaques basées sur le réseau, y compris les ransomwares qui ciblent spécifiquement l'infrastructure de sauvegarde avant de déclencher le chiffrement en production.

Les sauvegardes immuables empêchent la modification ou la suppression après l’écriture des données, mais elles peuvent rester accessibles via le réseau. Les sauvegardes déconnectées isolent les données de l’accès réseau habituel, mais elles ne garantissent pas que la copie était saine au moment de sa création. 

Vous avez besoin des deux contrôles pour une meilleure résilience : l’immuabilité aide à empêcher toute altération, tandis que la déconnexion réduit la portée des attaquants. Votre plan de récupération après ransomware doit également inclure l’analyse des malwares, les contrôles d’accès et les tests de restauration.

Le NIST SP 800-209 recommande des tests d'intégrité réguliers pour les données critiques, et le NIST IR 8576 précise des tests annuels pour les procédures de restauration à partir de sauvegardes. 

En pratique, vous devez valider régulièrement l'intégrité des sauvegardes critiques, effectuer des exercices complets de restauration en environnement isolé au moins une fois par an, et mesurer le temps réel de récupération par rapport à vos objectifs RTO et RPO documentés lors de chaque exercice. Des tests plus fréquents sont pertinents pour vos systèmes les plus critiques.

Les sauvegardes cloud peuvent être considérées comme logiquement Air Gapped lorsque vous les isolez via des domaines de sécurité distincts, une authentification indépendante, l'immuabilité au niveau des objets et un accès uniquement via API avec MFA. Le stockage cloud standard seul ne crée pas d'air gap. 

Vous devez configurer la séparation de manière délibérée, documenter clairement les limites de contrôle et vérifier que vos identifiants de production ne peuvent pas accéder, modifier ou supprimer directement l'ensemble de sauvegarde protégé lors des opérations normales.

Le plus grand risque est de supposer que vous disposez d'une véritable séparation physique alors qu'il s'agit en réalité d'une isolation logique avec des workflows autonomes. Toute tâche de réplication planifiée, appel d'API ou connexion d'agent de sauvegarde crée un chemin accessible que des attaquants sophistiqués peuvent exploiter. 

Vous devez auditer votre architecture de manière objective, la classer correctement et ajouter des contrôles compensatoires tels que l'immutabilité, l'authentification multifacteur, la segmentation, les workflows d'approbation et des tests de restauration répétés afin que votre conception de reprise corresponde à votre exposition réelle.

Les sauvegardes isolées physiquement s’alignent sur les principes de  Zero Trust en imposant une vérification explicite au niveau de l’infrastructure de sauvegarde. Chaque demande d’accès nécessite une authentification, l’autorisation suit le principe du moindre privilège via le RBAC, et toute activité reste enregistrée et traçable. 

L’isolation physique ajoute une restriction supplémentaire en supprimant l’accès réseau habituel entre les cycles de sauvegarde. Les workflows à double approbation pour les opérations destructrices constituent un contrôle additionnel, ce qui permet d’éviter qu’un compte compromis ne détruise votre capacité de restauration ou n’affaiblisse votre posture de cyber-résilience.

En savoir plus sur Cybersécurité

Gestion des droits numériques : Guide pratique pour les RSSICybersécurité

Gestion des droits numériques : Guide pratique pour les RSSI

La gestion des droits numériques d'entreprise applique un chiffrement persistant et des contrôles d'accès aux documents d'entreprise, protégeant les données sensibles même après la sortie des fichiers de votre réseau.

En savoir plus
Qu'est-ce que la sécurité de la surveillance et gestion à distance (RMM) ?Cybersécurité

Qu'est-ce que la sécurité de la surveillance et gestion à distance (RMM) ?

Découvrez comment les acteurs malveillants exploitent les outils RMM pour mener des attaques par ransomware et apprenez les stratégies de détection ainsi que les meilleures pratiques de sécurité pour protéger votre environnement.

En savoir plus
Address Resolution Protocol : Fonction, types et sécuritéCybersécurité

Address Resolution Protocol : Fonction, types et sécurité

Address Resolution Protocol traduit les adresses IP en adresses MAC sans authentification, ce qui permet des attaques de spoofing. Découvrez comment SentinelOne détecte et bloque les mouvements latéraux basés sur ARP.

En savoir plus
Qu'est-ce qu'une sauvegarde immuable ? Protection autonome contre les ransomwaresCybersécurité

Qu'est-ce qu'une sauvegarde immuable ? Protection autonome contre les ransomwares

Les sauvegardes immuables utilisent la technologie WORM pour créer des points de restauration que les ransomwares ne peuvent ni chiffrer ni supprimer. Découvrez les meilleures pratiques de mise en œuvre et les erreurs courantes.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français