Sauvegardes cloud fiables : comment vérifier qu'elles restaurent

·

93 % des entreprises qui perdent l'accès à leurs données pendant plus de dix jours ferment dans l'année qui suit. Ce chiffre provient d'études sur la continuité d'activité compilées par l'INCIBE et par l'agence européenne ENISA, et il revient dans chaque rapport sectoriel parce qu'il reste vrai. Pourtant, la majorité des PME espagnoles confondent avoir une sauvegarde dans le cloud avec pouvoir restaurer cette sauvegarde quand elles en ont besoin. Ce sont deux choses très différentes.

Cet article explique, sans détours, ce qui rend une sauvegarde cloud réellement utile, comment la tester avant qu'une catastrophe ne survienne, combien coûte un service correctement configuré et quels signaux doivent vous alerter sur le fait que votre solution actuelle est un placebo de sécurité.

L'erreur la plus fréquente : confondre copie et récupération

Une sauvegarde est un processus en deux phases. La première — copier les données — est celle que tout le monde voit et contracte. La seconde — les restaurer dans un délai raisonnable et avec une intégrité garantie — est celle que presque personne ne teste avant d'en avoir besoin. Cet écart est la cause de la plupart des incidents graves que nous traitons chez Summum Sistemas, où nous accompagnons des projets technologiques depuis 2007.

Les défaillances les plus fréquentes que nous constatons lors de l'audit de sauvegardes cloud dans les PME sont :

Ce que doit contenir une sauvegarde cloud qui serve à quelque chose

Avant de comparer les prix, il est utile d'établir les exigences techniques minimales pour une sauvegarde cloud d'entreprise. Le tableau ci-dessous résume les plus pertinentes et les relie au problème qu'elles résolvent :

Caractéristique Ce qu'elle résout Sans elle...
Chiffrement en transit et au repos (AES-256) Protège les données contre les accès non autorisés dans le cloud Non-conformité RGPD et risque de violation de données
Stockage immuable (WORM) Empêche le ransomware ou un initié de supprimer les copies La sauvegarde disparaît avec l'attaque
Restauration vérifiée périodiquement Confirme que les données sont lisibles et intègres Vous découvrez la défaillance quand il est trop tard
Rétention minimale 30 jours (90 jours recommandé) Couvre le délai d'incubation moyen d'un ransomware moderne Vous restaurez des données déjà infectées
RPO défini et testé (<24 h pour les données critiques) Limite la perte maximale d'informations en cas d'incident Vous pouvez perdre des jours ou des semaines de transactions
RTO défini et testé (<4 h pour les systèmes critiques) Garantit que l'activité reprend dans un délai acceptable L'arrêt peut durer des jours même si la copie existe
Comptes séparés (règle 3-2-1-1) Isole la sauvegarde de l'environnement de production Un seul vecteur d'attaque compromet tout
Alertes automatiques d'échec de job Détecte les copies échouées avant que le silence ne devienne permanent Des semaines sans sauvegarde sans que personne ne le sache

La règle 3-2-1-1 en 2025 : pourquoi l'originale ne suffit plus

La règle classique de sauvegarde — trois copies, sur deux supports différents, une hors site — reste un point de départ valide. Cependant, la prolifération des ransomwares ciblés a imposé l'ajout d'un quatrième élément : une copie immuable et isolée (air-gapped ou WORM) qui ne peut être ni modifiée ni supprimée même si les identifiants de l'entreprise sont compromis.

Des fournisseurs comme Veeam, Acronis et Commvault proposent un stockage avec verrouillage d'objets compatible S3 (AWS, Azure Blob, Backblaze B2) qui garantit cette immuabilité. Le coût du stockage cloud pour la copie immuable est relativement faible — entre 0,005 et 0,023 € par Go/mois selon le fournisseur et la région — mais la valeur qu'il apporte est disproportionnée par rapport à ce coût.

Comment vérifier que votre sauvegarde restaure vraiment : le test de restauration

La seule façon de savoir si une sauvegarde fonctionne est de la restaurer. Pas en production, mais dans un environnement de test isolé. La procédure minimale recommandée pour une PME est la suivante :

  1. Planifier le test trimestriel : fixer une date et un environnement de test (une machine virtuelle temporaire, un serveur de staging ou un bac à sable dans le cloud).
  2. Sélectionner le point de restauration : choisir une sauvegarde datant de 7 à 30 jours (pas la plus récente, qui peut venir d'être compromise).
  3. Restaurer le système ou l'application critique : pas seulement les fichiers, mais le service complet, avec la base de données et la configuration.
  4. Exécuter une liste de contrôle fonctionnelle : vérifier que l'application démarre, que les données sont cohérentes avec la date de la sauvegarde et que les utilisateurs de test peuvent opérer normalement.
  5. Mesurer le temps de restauration réel : le comparer avec le RTO contracté. Si le RTO était de 4 heures et que la restauration réelle a pris 11 heures, il y a un problème de configuration ou de bande passante à corriger avant l'incident réel.
  6. Documenter et archiver le résultat : un enregistrement écrit du test sert également de preuve de diligence raisonnable lors d'audits de cybersécurité ou auprès des assureurs en risques cyber.

Notre service de sauvegarde cloud pour PME inclut ces tests de restauration de façon programmée et remet un rapport documenté à chaque test. Pas comme un supplément, mais parce que sans cette vérification, la sauvegarde n'a aucune valeur réelle.

Combien coûte une sauvegarde cloud vérifiée pour une PME : fourchettes réelles 2025-2026

Le coût d'une sauvegarde cloud dépend de plusieurs facteurs : le volume de données, le nombre de systèmes protégés, la fréquence des copies, la rétention et si le service inclut une gestion et une surveillance actives ou s'il s'agit d'un pur libre-service. Voici des fourchettes indicatives de marché basées sur l'offre disponible en Espagne début 2026, sans inclure nos propres tarifs :

Scénario Description Fourchette de coût mensuel (marché)
Libre-service basique 1-2 serveurs, 500 Go, sans gestion, rétention 7 jours (ex. Acronis True Image ou Veeam Essentials avec stockage propre sur Azure/AWS) 30 – 80 €/mois
Service géré — petite PME 3-5 serveurs/VMs, jusqu'à 2 To, rétention 30 jours, surveillance et alertes, sans test de restauration inclus 150 – 350 €/mois
Service géré — PME moyenne 5-15 serveurs/VMs, 2-10 To, rétention 90 jours, tests de restauration trimestriels, immuabilité WORM, SLA avec RTO/RPO documenté 350 – 900 €/mois
BDR complet (Backup + Disaster Recovery) Environnement répliqué dans le cloud prêt à démarrer (failover), protection M365/Google Workspace incluse, tests mensuels, couverture ransomware 900 – 2 500 €/mois

Sources de référence pour ces fourchettes : tarifs publics de Veeam Cloud & Service Provider (VCSP), Acronis Cloud Partner Program, Datto SIRIS et comparatifs sectoriels Gartner Peer Insights (2025). Les prix varient selon le volume négocié et la région du centre de données.

Les facteurs qui font monter le prix

Les signes que votre sauvegarde actuelle est un placebo

Il existe des symptômes clairs qu'une solution de sauvegarde ne fournit pas la protection qu'elle promet. Si vous en reconnaissez certains dans votre entreprise, il convient de revoir la configuration avant qu'il ne soit trop tard :

Sauvegarde cloud et conformité réglementaire : RGPD, ENS et NIS2

Au-delà de la continuité opérationnelle, la sauvegarde cloud a des implications réglementaires qui sont devenues plus importantes pour les PME espagnoles en 2025-2026 :

Si votre entreprise travaille avec l'Administration publique ou appartient à des secteurs réglementés (santé, alimentation, transport, finances), disposer d'une sauvegarde cloud vérifiée n'est pas une option mais une obligation auditable. L'équipe de Summum Sistemas peut vous accompagner aussi bien dans la mise en œuvre technique que dans la documentation nécessaire pour réussir les audits.

Sauvegarde cloud de Microsoft 365 et Google Workspace : l'angle mort le plus fréquent

L'un des malentendus les plus dangereux que nous rencontrons dans les PME est de croire que Microsoft ou Google sauvegardent leurs données de messagerie, de calendriers et de fichiers Drive ou SharePoint. Ce n'est pas le cas.

Microsoft 365 et Google Workspace offrent tous deux une haute disponibilité et une récupération en cas de défaillance de leur propre infrastructure, mais ils ne protègent pas contre la suppression accidentelle par l'utilisateur, la suppression malveillante par un employé ou une attaque de ransomware qui chiffre ou supprime les données depuis l'intérieur du compte. La politique de rétention dans la corbeille de Microsoft 365 est de 93 jours par défaut ; passé ce délai, les données disparaissent définitivement.

Pour couvrir cet angle mort, il existe des solutions de sauvegarde spécifiques pour le SaaS : Veeam Backup for Microsoft 365, Acronis Cyber Cloud pour M365 et Backupify pour Google Workspace, entre autres. Leur coût est d'environ 2 à 5 euros par utilisateur et par mois selon le fournisseur et le volume — une dépense très modeste comparée au risque qu'elle couvre.

Questions fréquentes

À quelle fréquence dois-je sauvegarder mes données professionnelles ?

Cela dépend de votre tolérance à la perte de données (RPO). Pour les systèmes transactionnels — ERP, CRM, bases de données clients — la pratique habituelle dans les PME est une sauvegarde complète quotidienne avec des sauvegardes incrémentielles toutes les 1 à 4 heures pendant les heures de travail. Pour les fichiers de travail partagés (SharePoint, serveurs de fichiers), une sauvegarde nocturne est généralement suffisante. Le critère clé n'est pas la fréquence en tant que telle, mais le nombre d'heures de travail que vous êtes prêt à perdre si un incident survient à 17 h 59.

Combien de temps dois-je conserver les sauvegardes ?

Le minimum recommandé en 2026 est de 30 jours, même si 90 jours est le standard de facto dans les environnements exposés au risque de ransomware. Des rapports de cybersécurité de référence (Mandiant M-Trends 2024, Sophos Active Adversary Report 2024) indiquent que le temps de présence médian du ransomware avant activation (dwell time) se situait entre 5 et 16 jours en 2024, avec une tendance à se raccourcir dans les attaques ciblées. Avec une rétention de 7 jours, de nombreuses entreprises restaureraient des données déjà compromises. Pour les obligations légales (RGPD, comptabilité), tenez également compte des délais réglementaires : en Espagne, la documentation comptable doit être conservée pendant au moins 6 ans (Code de commerce, art. 30).

Est-il prudent de stocker les sauvegardes chez le même fournisseur cloud que mon infrastructure ?

Ce n'est pas recommandé si les comptes sont liés ou si les identifiants sont les mêmes. Si un attaquant compromet votre compte Azure ou AWS et accède également au stockage des sauvegardes, il peut tout supprimer. La bonne pratique consiste à utiliser des comptes de stockage séparés, avec des utilisateurs en écriture seule pour le processus de sauvegarde et sans possibilité de suppression via les mêmes identifiants de production. De nombreux services BCDR modernes proposent un stockage isolé avec verrouillage d'objets (WORM) précisément pour couvrir ce scénario.

Quelle est la différence entre une sauvegarde cloud et un service de reprise après sinistre dans le cloud ?

Une sauvegarde cloud stocke des copies de vos données et systèmes ; pour restaurer, il faut du temps (heures ou jours) pour reconstruire l'environnement. Un service de reprise après sinistre (DR) dans le cloud maintient un réplica fonctionnel de vos systèmes prêt à démarrer en quelques minutes en cas de défaillance de l'environnement principal. Le DR est plus coûteux car il implique de maintenir du calcul actif ou semi-chaud dans le cloud, mais le RTO peut passer de quelques heures à quelques minutes. Pour la plupart des PME, une sauvegarde cloud bien gérée avec un RTO de 4 à 8 heures est suffisante ; le DR complet se justifie lorsque l'arrêt a un impact économique mesurable à l'heure (hôtellerie-restauration, commerce électronique, services financiers).