29 juin 2026Sécurité

Sauvegardes immuables : règle 3-2-1-1-0 appliquée à une PME romande

Un ransomware chiffre vos données en moins de 45 minutes — vos sauvegardes classiques sont souvent la première cible. La règle 3-2-1-1-0 avec copies immuables change radicalement l'équation de la reprise.

Par ZRS-Holding Sàrl·10 min de lecture·95 lectures
Partager

Quand la sauvegarde devient la cible

En 2023, plus de 60 % des attaques par ransomware documentées par le NCSC ciblaient délibérément les systèmes de sauvegarde avant de déclencher le chiffrement de la production. Une PME de 40 collaborateurs dans le canton de Vaud qui croit ses données protégées par un NAS synchronisé la nuit découvre trop tard que le ransomware a aussi chiffré — ou supprimé — ce NAS. La règle 3-2-1-1-0 avec immuabilité est la réponse architecturale à ce scénario.

Anatomie de la règle 3-2-1-1-0

La règle originale 3-2-1, popularisée par le photographe Peter Krogh, a été étendue deux fois pour répondre aux menaces modernes. Voici ce que chaque chiffre signifie en contexte PME :

  • 3 — Trois copies des données (production + deux sauvegardes distinctes).
  • 2 — Sur deux types de supports différents : par exemple disque (NAS local) et bande magnétique LTO, ou disque et objet cloud.
  • 1 — Au moins une copie hors site (offsite), physiquement ou logiquement séparée du réseau principal.
  • 1 — Au moins une copie immuable (air-gapped ou WORM), impossible à modifier ou supprimer pendant une période définie (retention lock).
  • 0 — Zéro erreur lors du dernier test de restauration vérifié. Pas zéro erreur espérée : zéro erreur constatée par test automatisé.

Le quatrième chiffre — l'immuabilité — est le verrou légal et technique central. Une copie immuable s'appuie sur deux mécanismes principaux :

  • Object Lock (S3-compatible) : les objets de sauvegarde sont verrouillés en mode Compliance ou Governance pour une durée fixe (30, 60 ou 90 jours selon la politique de rétention). Même un compte administrateur ne peut pas supprimer l'objet avant l'expiration du verrou.
  • WORM physique : bandes LTO-8/LTO-9 en mode WORM, ou disques optiques (M-DISC) pour les archives à très long terme. Pertinent pour les archives comptables et les dossiers médicaux.

Le cinquième chiffre (0) transforme la sauvegarde d'un processus en un système auditable. Un backup non testé est une promesse, pas une garantie.

Cadre légal : nLPD, FINMA et obligations de traçabilité

Obligations sous la nouvelle LPD

Depuis le 01.09.2023, la nouvelle loi fédérale sur la protection des données (nLPD) impose des mesures techniques et organisationnelles proportionnées à la sensibilité des données traitées. L'article 8 nLPD exige que les données personnelles soient protégées contre tout traitement non autorisé — y compris leur destruction accidentelle ou malveillante. Une perte de données résultant d'une attaque ransomware sans mécanisme de restauration constitue une violation notifiable au Préposé fédéral à la protection des données et à la transparence (PFPDT) dès que la violation est susceptible d'entraîner un risque élevé pour les personnes concernées.

La durée légale de conservation des données comptables est de 10 ans en droit suisse (CO art. 958f). Cela signifie que les sauvegardes d'archives comptables doivent être immuables sur cette durée — un Object Lock de 30 jours ne suffit pas pour couvrir cette obligation.

Entreprises sous supervision FINMA

Pour les établissements financiers, banques et gestionnaires de fortune, la circulaire FINMA 2023/1 sur les risques opérationnels impose des RTO (Recovery Time Objective) et RPO (Recovery Point Objective) documentés. Les sauvegardes immuables offsite sont implicitement requises pour satisfaire les exigences de continuité. Un RPO de 4 heures avec RTO de 8 heures implique des cycles de sauvegarde toutes les 4 heures avec stockage immédiat en copie immuable.

Notification d'incident et NCSC

En cas d'incident de ransomware, la procédure de signalement au NCSC est recommandée (et obligatoire pour les infrastructures critiques depuis la modification de la loi sur la sécurité de l'information). Disposer de journaux d'audit des sauvegardes immuables — avec timestamps et checksums — accélère l'analyse forensique et la reconstruction de la chronologie d'attaque.

Architecture technique : comment déployer la règle en PME

Couche 1 — Sauvegarde locale sur NAS ou serveur dédié

Le premier backup part de l'agent installé sur les endpoints (Windows 11 23H2, macOS 14 Sonoma) et les serveurs (Windows Server 2022, Linux). Fréquence minimale recommandée : toutes les 4 heures pour les fichiers actifs, toutes les 24 heures pour les images système complètes. Le NAS local doit être sur un VLAN isolé (par exemple VLAN 20, sans routage direct depuis le VLAN de production VLAN 10). Les ports requis typiques : TCP 443 pour les agents modernes, ou TCP 9392/9393 selon la solution retenue. Le compte de service de sauvegarde doit être dédié, sans droits admin sur le domaine.

Couche 2 — Réplication vers stockage objet immuable (cloud ou on-premise)

La copie immuable cible un stockage S3-compatible avec Object Lock activé en mode Compliance. Les fournisseurs cloud établis en Suisse (régions CH) permettent de satisfaire l'exigence de localisation des données sous nLPD. Le verrou minimal conseillé : 30 jours pour la rétention opérationnelle, 10 ans pour les archives comptables. La politique de cycle de vie (Lifecycle Policy) supprime automatiquement les versions expirées après la période de verrou — ce qui évite l'accumulation incontrôlée.

Configuration Object Lock recommandée :

  • Mode : Compliance (pas Governance — un admin peut contourner Governance)
  • Retention period : 30 jours (opérationnel) / 3650 jours (archives légales)
  • MFA Delete : activé sur le bucket
  • Versioning : activé obligatoirement (prérequis Object Lock)
  • Accès : clé API dédiée, en écriture seule depuis le serveur de sauvegarde (pas de droit de lecture ni delete pour ce compte)

Couche 3 — Air-gap physique ou bande hors ligne

Pour les PME sans budget cloud conséquent, une rotation de bandes LTO-8 (capacité native 12 TB, compressée jusqu'à 30 TB) est une alternative solide. Le schéma grandfather-father-son (GFS) avec rotation hebdomadaire et stockage hors site chez un prestataire de coffre-fort (ex. Iron Mountain Suisse, ou simplement dans un local physiquement séparé) constitue le troisième pilier. Une bande sortie du lecteur est par définition air-gapped. Coût d'une unité de bande LTO-8 : environ CHF 25–40 pièce.

Le zéro — Tests automatisés de restauration

Un test de restauration mensuel sur environnement isolé (sandbox VM, réseau VLAN de test) avec vérification automatique du hash SHA-256 des fichiers restaurés est le strict minimum. Les outils modernes permettent de planifier ces tests et d'envoyer un rapport par e-mail avec le résultat (succès/échec, durée, RPO effectif mesuré). Le résultat doit être documenté et archivé pour les audits ISO 27001 ou nLPD. Sans ce contrôle, vous avez trois copies de données potentiellement corrompues.

Procédure de réponse à incident ransomware avec sauvegardes immuables

  1. Détection (J0, H0) — Le SOC ou l'administrateur détecte l'anomalie (alertes EDR, chiffrement massif de fichiers, IoC réseau). Isolation immédiate des segments affectés au niveau commutateur (désactivation port, quarantaine VLAN).
  2. Évaluation du périmètre (J0, H1–H4) — Identification des systèmes compromis, vérification de l'intégrité des sauvegardes. Consulter le journal d'audit du système de sauvegarde : à quelle heure la dernière copie propre a-t-elle été écrite ? Le verrou immuable est-il intact ?
  3. Notification NCSC (J0–J1) — Signalement de l'incident via le formulaire NCSC. Pour les incidents affectant des données personnelles, évaluation du risque pour notification éventuelle au PFPDT (délai non fixé explicitement dans la nLPD, mais la pratique recommande 72 heures par analogie avec le RGPD).
  4. Restauration depuis la copie immuable (J1–J3) — Montage d'un environnement propre (nouveaux serveurs ou VMs réinstallés depuis images golden). Restauration depuis le dernier point de restauration propre (dernière sauvegarde précédant l'intrusion confirmée). Vérification des checksums avant remise en production.
  5. Analyse forensique (J1–J7) — Conservation des disques chiffrés pour analyse ultérieure. Ne jamais payer la rançon sans avis juridique : cela peut violer les sanctions SECO si le groupe ransomware est listé.
  6. Remédiation et hardening (J7–J30) — Patch des vecteurs d'entrée, révision des accès privilégiés, activation MFA sur tous les accès distants, revue de la politique de sauvegarde.
  7. Post-mortem documenté (J30) — Rapport d'incident formalisé, mis à disposition pour l'audit nLPD ou ISO 27001.

Cas pratique : fiduciaire vaudoise, 35 collaborateurs

Contexte : fiduciaire à Lausanne, 35 collaborateurs, 280 clients actifs, 12 TB de données actives (dossiers fiscaux, comptabilités clients, données RH). Parc : 30 postes Windows 11 23H2, 5 MacBook Pro macOS 14, 2 serveurs Windows Server 2022 (AD, fichiers). Pas de service IT interne — infogérance partielle chez un MSP local.

Avant : situation de départ (risque élevé)

  • Sauvegarde quotidienne vers NAS Synology sur le même réseau que la production (VLAN unique).
  • Pas de copie hors site (le dirigeant emportait parfois un disque externe à domicile, sans procédure formelle).
  • Aucun test de restauration documenté depuis 18 mois.
  • RPO effectif : 24 heures. RTO estimé : inconnu (jamais testé).

Après : architecture 3-2-1-1-0 déployée en 6 semaines

Coûts d'implémentation :

  • Licences logiciel de sauvegarde avec agent endpoint (30 postes + 2 serveurs) : CHF 1'800/an
  • NAS dédié sauvegarde (VLAN isolé, 24 TB brut, RAID-6) : CHF 2'200 (investissement unique)
  • Stockage objet cloud Suisse avec Object Lock, 15 TB, 30 jours rétention opérationnelle : environ CHF 180/mois (CHF 2'160/an)
  • Lecteur LTO-8 externe + 10 bandes WORM pour archives comptables 10 ans : CHF 1'500 (investissement unique) + CHF 300/an (bandes)
  • Temps MSP pour déploiement et configuration : 16 heures à CHF 180/h = CHF 2'880
  • Total année 1 : CHF ~10'840. Années suivantes : CHF ~4'260/an.

Paramètres de rétention retenus :

  • Sauvegardes quotidiennes : 30 versions (rétention opérationnelle, Object Lock 30 jours)
  • Sauvegardes hebdomadaires : 12 semaines
  • Archives annuelles (bande LTO-8 WORM) : 10 ans (conformité CO art. 958f)

Test de restauration à J+45 : restauration complète d'un dossier client de 8 GB depuis la copie immuable cloud en 22 minutes. Hash SHA-256 conforme. RTO mesuré pour un serveur fichiers complet (12 TB) : 7 heures sur le matériel de substitution du MSP. Ce chiffre a été documenté dans le registre des activités de traitement comme mesure technique au sens de la nLPD.

Simulation d'incident à J+90 : le MSP a simulé un ransomware en chiffrant délibérément 500 GB de données de test sur un poste isolé. La dernière copie immuable propre datait de 3h58 avant l'intrusion simulée — RPO effectif de moins de 4 heures. L'Object Lock a empêché toute tentative de suppression depuis le compte de service de sauvegarde (testé intentionnellement). Résultat : zéro perte de données sur le scénario simulé.

Récapitulatif opérationnel

  • Isoler le NAS de sauvegarde sur un VLAN dédié, sans accès direct depuis les postes utilisateurs. Le serveur de sauvegarde est le seul initiateur des connexions.
  • Activer Object Lock en mode Compliance (pas Governance) sur le bucket de sauvegarde cloud. Rétention minimale 30 jours pour l'opérationnel, 10 ans pour les archives légales.
  • Créer un compte API dédié en écriture seule pour le serveur de sauvegarde vers le stockage cloud. Aucun droit de suppression ou lecture des objets existants.
  • Planifier un test de restauration mensuel automatisé avec vérification de hash et rapport horodaté. Archiver les rapports pour l'audit nLPD/ISO 27001.
  • Documenter le RPO et RTO mesurés dans le registre des traitements nLPD comme mesure technique proportionnée à la sensibilité des données.
  • Inclure une rotation de bandes WORM hors site pour les archives à conservation longue (comptabilité 10 ans, dossiers RH 5 ans après départ).
  • Tester le signalement NCSC dans le cadre du plan de réponse à incident : savoir qui appelle, avec quelles informations, dans quel délai.
  • Vérifier l'absence de droits d'administration domaine pour le compte de service de sauvegarde. Principe du moindre privilège appliqué strictement.
  • Réviser la politique annuellement : la taille du parc, les volumes de données et les exigences légales évoluent. Une PME qui passe de 20 à 60 endpoints en deux ans doit recalculer ses capacités de stockage et ses fenêtres de sauvegarde.

SynGuard accompagne les PME romandes dans l'audit de leur architecture de sauvegarde et la mise en conformité nLPD de leurs mesures techniques — sans promesse de solution miracle.

Sources

Noter cet article

Pas encore de note