La règle 3-2-1 a été popularisée par Peter Krogh, photographe et auteur du livre The DAM Book (2005), pour la gestion des archives photographiques. Elle s'est imposée comme standard universel dans l'informatique professionnelle.

Définition :

• 3 copies des données : 1 copie de production + 2 sauvegardes.
• 2 supports différents : pour éviter qu'un défaut commun (corruption, défaillance matérielle) impacte toutes les copies. Exemples : disque dur + bande, disque dur + cloud, NAS + bande.
• 1 hors site géographique : pour résister aux sinistres locaux (incendie, inondation, vol).

Cette règle pose les bases. Mais elle ne suffit plus face aux ransomwares modernes qui chiffrent simultanément la production ET les sauvegardes en ligne. D'où l'évolution récente vers 3-2-1-1-0.

Le « 1 » supplémentaire : une copie immuable. Une sauvegarde qui ne peut pas être modifiée ni supprimée, même par un administrateur légitime, pendant une période définie (rétention immutable). Technologies :

• S3 Object Lock (AWS, compatible Wasabi, Backblaze B2) : verrou WORM logiciel.
• Bandes magnétiques WORM : verrou physique inviolable.
• Veeam Hardened Repository : serveur Linux durci, immutabilité native.
• NetBackup Lock, Rubrik, Cohesity : solutions enterprise.

Le « 0 » final : zéro erreur lors des tests de restauration. Une sauvegarde non testée est une sauvegarde présumée corrompue. Voir Module 4 sur les tests.

Plusieurs types de sauvegardes coexistent dans une politique mature :

Stratégie typique en grand groupe :

• Quotidien : incrémentaux nocturnes (faible volume).
• Hebdomadaire : différentielle (consolidation).
• Mensuel : full complète (point de récupération fiable).
• Snapshot continu : pour rollback rapide (granularité min).
• Réplication asynchrone vers le site de secours (RPO ≤ 15 min).

Politique de rétention :

• 7 jours de sauvegardes incrémentales journalières.
• 4 à 5 semaines de sauvegardes hebdomadaires.
• 12 mois de sauvegardes mensuelles.
• 5 à 10 ans de sauvegardes annuelles pour archives légales (comptabilité, RH, médical).
• Indéfini pour certaines données réglementaires (40 ans pour le DUERP, par exemple).

Les obligations légales de conservation varient selon les données : 10 ans pour les documents comptables, 5 ans pour les bulletins de paie, 6 mois pour les emails commerciaux, 40 ans pour le DUERP, etc. Le PRA doit aligner ses politiques de rétention avec ces obligations.

En cas de sinistre majeur, il faut restaurer dans le bon ordre les applications. Erreur classique : tout vouloir restaurer en parallèle, créer des conflits de ressources et des dépendances brisées.

Ordre type d'une reprise complète :

1. Infrastructure réseau : routeurs, switches, firewalls, DNS, DHCP. Sans réseau, rien ne marche.
2. Annuaires d'identité : Active Directory, LDAP, IAM. Sans authentification, pas d'accès.
3. Services de base : DNS interne, NTP (synchronisation horaire), PKI.
4. Stockage et bases de données centrales. Restauration de l'ERP, du CRM, des données métier critiques.
5. Hyperviseurs et orchestrateurs : VMware vCenter, Kubernetes, OpenShift.
6. Applications de niveau 1 (vitales selon BIA) : production, paiement, suivi clients.
7. Communication interne et collaborative : Exchange/M365, Teams/Slack, fichiers partagés.
8. Applications de niveau 2 : analytique, reporting, supports.
9. Postes de travail : provisioning massif si nécessaire.
10. Tests fonctionnels avant remise en production.
11. Communication aux utilisateurs : qui peut faire quoi.

Cette séquence est documentée dans le PRA sous forme de « livre de reprise » (runbook), avec pour chaque étape : prérequis, actions, durée estimée, point de validation, escalade si échec.

Pour les très grandes organisations, des outils d'orchestration de reprise automatisent ces séquences : Veeam Orchestrator, Zerto, VMware Site Recovery Manager (SRM), AWS Elastic Disaster Recovery, Azure Site Recovery.

Le scénario ransomware est devenu si fréquent qu'il mérite un PRA spécifique. Particularités à anticiper :

• Compromission durable : l'attaquant peut être présent dans le SI depuis des semaines avant le déclenchement. Les sauvegardes récentes peuvent déjà être compromises.
• Chiffrement massif : tous les fichiers accessibles deviennent illisibles. Y compris fichiers en cours d'utilisation.
• Sauvegardes attaquées : les ransomwares modernes ciblent en priorité les serveurs de sauvegarde (Veeam, NetBackup, Cohesity).
• Vol de données (« double extorsion ») : exfiltration avant chiffrement, puis menace de divulgation.
• Latéralisation : propagation via Active Directory compromis, exécution sur tous les postes.

Réponse opérationnelle :

1. Isolement immédiat du SI : déconnexion réseau, mise en veille, arrêt complet si nécessaire.
2. Notification rapide : ANSSI/CERT-FR, prestataire de réponse à incident (Wavestone, Synacktiv, etc.), CNIL si données personnelles.
3. Forensique : analyser l'étendue de la compromission, identifier la « patient zero », rechercher les backdoors.
4. Décision de paiement : non recommandé par l'État (financement du crime), mais parfois pratiqué. À discuter en CDS + juridique + assureur cyber.
5. Reconstruction depuis sauvegardes propres : identifier un point de restauration antérieur à la compromission (parfois plusieurs semaines en arrière).
6. Reconstruction complète : reformatage des serveurs, réinstallation de l'OS et des applications, restauration des données seulement.
7. Renforcement : patches, hardening, MFA généralisé, segmentation réseau, monitoring renforcé.
8. Communication : interne, clients, assurance, autorités.

Position officielle ANSSI/CERT-FR : ne pas payer la rançon. Raisons :

• Le paiement finance le cybercrime et alimente l'écosystème mafieux.
• Aucune garantie de récupération même après paiement (~ 40 % des cas).
• Marque la victime comme « payeuse », augmentant les attaques futures.
• Risque pénal en France (financement du terrorisme, si groupe sanctionné).
• L'assureur cyber ne couvre généralement pas les rançons (refus de couvrir dans certains contrats post-2022).

« La doctrine française est claire : ne pas payer. Mais sur le terrain, environ 40 % des organisations victimes paient — souvent par désespoir, parfois par calcul économique. Ce taux baisse depuis 2023 grâce à l'amélioration des PRA. »

— Bilan CERT-FR 2024 sur les ransomwares

L'architecture moderne d'un SI résilient repose sur plusieurs principes :

• Segmentation réseau : isoler les zones critiques (production, paiement, RH) par des firewalls internes. Limite la propagation d'attaques.
• Microsegmentation : segmenter au niveau des applications, voire des conteneurs. Approche Software-Defined Network (SDN).
• Zero Trust : ne jamais faire confiance, toujours vérifier. Authentification continue, MFA partout, principe du moindre privilège.
• Immutabilité : infrastructure as code, déploiements reproductibles, pas de modification manuelle des serveurs en production.
• Sauvegarde air-gap : copie déconnectée physiquement du réseau, à intervalles réguliers.
• SIEM/SOC : Security Information and Event Management, Security Operation Center 24/7 pour détecter et alerter.
• EDR/XDR : Endpoint Detection and Response — détection comportementale sur les postes et serveurs.
• Backup-as-a-Service (BaaS) : externalisation chez un prestataire spécialisé (Veeam Cloud Connect, Cohesity, Acronis).

L'investissement dans ces technologies a un coût significatif :

• SOC managé : 50 k€ à 500 k€/an selon la taille de l'organisation.
• EDR enterprise : 30-100 € par poste/an.
• BaaS : 0,02 à 0,10 €/Go/mois de stockage backup cloud.
• SIEM enterprise : 100 k€ à 1 M€/an.

L'argument économique reste cependant favorable : le coût moyen d'une violation de données en France est de 4,9 M€ (IBM 2024). Un investissement de 200 k€/an dans la résilience est largement rentable.

Le marché du backup et de la restauration est mature. Acteurs principaux :

• Veeam — leader européen, large adoption en France, particulièrement fort sur les environnements VMware/Hyper-V. Veeam Cloud Connect pour le offsite.
• Commvault — solution enterprise large couverture (cloud, conteneurs, BDD, fichiers).
• NetBackup (Veritas) — historique fort dans les grandes entreprises.
• Cohesity — modernise via approche hyperconvergée, immutabilité native.
• Rubrik — challenger fort sur immutabilité et détection ransomware par ML.
• Acronis Cyber Protect — solution intégrée backup + EDR + antivirus pour les TPE-PME.
• Druva — natif cloud, modèle SaaS.
• HYCU — spécialiste backup cloud-native.
• Atempo Tina — éditeur français, références dans le secteur public.

Solutions PRA :

• Zerto (HPE) — réplication continue à granularité fine, particulièrement fort pour RTO/RPO courts.
• VMware Site Recovery Manager (SRM) — orchestration de PRA pour environnements VMware.
• AWS Elastic Disaster Recovery (CloudEndure) — PRA cloud-as-a-service.
• Azure Site Recovery — équivalent Microsoft Azure.
• Carbonite — solution intégrée pour PME.

Le choix d'un outil dépend de :

• Le périmètre technologique (cloud public, hybride, on-premise).
• La criticité (RTO/RPO cibles).
• Le budget annuel.
• La maturité interne (équipes IT, exploitation, sécurité).
• Les obligations de souveraineté (SecNumCloud, HDS, données sensibles).