Cybersecurite TPE
Sauvegarde 3-2-1 en TPE : comment la mettre en place sans usine a gaz
La sauvegarde 3-2-1 est simple a retenir : trois copies, deux supports ou emplacements, une copie separee. Pour une TPE, l enjeu n est pas d acheter une solution complexe. L enjeu est de savoir quelles donnees sauver, a quelle frequence, et comment restaurer vite. Une sauvegarde non testee reste une hypothese. Elle peut etre incomplete, chiffree par erreur, inaccessible ou trop ancienne. La methode ci-dessous transforme la sauvegarde en routine operationnelle.
La sauvegarde 3-2-1 est simple a retenir : trois copies, deux supports ou emplacements, une copie separee. Pour une TPE, l enjeu n est pas d acheter une solution complexe. L enjeu est de savoir quelles donnees sauver, a quelle frequence, et comment restaurer vite. Une sauvegarde non testee reste une hypothese. Elle peut etre incomplete, chiffree par erreur, inaccessible ou trop ancienne. La methode ci-dessous transforme la sauvegarde en routine operationnelle.
1. Liste les donnees qui arreteraient ton activite
Commence par les donnees critiques. Ce sont les fichiers et comptes sans lesquels tu ne peux plus facturer, livrer, servir les clients ou prouver ton travail. Dans une TPE, cela inclut souvent les factures, devis, contrats, dossiers clients, documents administratifs, emails importants, exports CRM, codes source, contenus de site, photos de production ou documents de projet. Ne mets pas tout au meme niveau. Les brouillons et archives anciennes peuvent avoir une sauvegarde moins frequente. Les documents clients actifs, la facturation et les donnees commerciales doivent etre traites plus serieusement.
- Facturation et comptabilite.
- Contrats et documents juridiques.
- Dossiers clients actifs.
- Propositions commerciales et devis.
- Exports SaaS importants.
2. Applique la logique 3-2-1 de facon concrete
La copie principale est l endroit ou tu travailles : ordinateur, serveur, Drive, outil SaaS. La deuxieme copie peut etre une sauvegarde cloud dediee ou un export regulier. La troisieme copie doit etre separee : disque deconnecte, espace cloud distinct, coffre archive, sauvegarde avec protection contre suppression rapide. La separation compte beaucoup contre les rancongiciels. Si ton unique sauvegarde est synchronisee en permanence, une suppression ou un chiffrement peut se propager. Une copie separee donne une chance de revenir a un etat sain. Pour une petite equipe, une combinaison realiste peut etre : stockage cloud professionnel, sauvegarde automatique specialisee, export mensuel chiffre sur support deconnecte. Ce n est pas parfait, mais c est deja beaucoup mieux qu un seul Drive.
3. Definis les frequences
La bonne question est : combien de travail peux-tu perdre ? Si perdre une journee de factures ou de dossiers clients est inacceptable, la sauvegarde doit etre quotidienne. Si perdre une semaine d archives anciennes est tolerable, la frequence peut etre plus basse. Documente la frequence par type de donnees. Exemple : documents clients actifs tous les jours, facturation toutes les semaines, exports CRM toutes les semaines, archives tous les mois. Une frequence ecrite vaut mieux qu une intention vague.
- Quotidien : travail actif et documents clients.
- Hebdomadaire : facturation, CRM, exports commerciaux.
- Mensuel : archives, dossiers clos, exports administratifs.
- Trimestriel : test large de restauration.
4. Teste la restauration
Le test minimal prend dix minutes. Choisis un fichier non sensible, supprime-le d un espace de test, restaure-le depuis la sauvegarde, ouvre-le et note le temps necessaire. Ce test montre si la procedure fonctionne vraiment. Une fois par trimestre, fais un test plus utile : restaure un dossier complet ou un export d outil SaaS. Note les problemes : fichier manquant, droits incorrects, archive trop ancienne, format illisible. Corrige la procedure tout de suite.
5. Ecris une fiche de procedure
La sauvegarde ne doit pas vivre dans la tete d une seule personne. Redige une fiche courte : donnees couvertes, outil, frequence, emplacement, responsable, date du dernier test, marche a suivre en cas de restauration. Ajoute un cas d urgence : ordinateur vole, compte cloud compromis, ransomware suspecte, collaborateur ayant supprime un dossier. Dans chaque cas, l objectif est d eviter l improvisation.
- Responsable des sauvegardes.
- Frequence par donnees.
- Emplacement des copies.
- Procedure de test.
- Procedure de restauration d urgence.
Controle de fin de mois
A la fin du mois, reprends le sujet en dix minutes. Verifie ce qui a ete applique, ce qui reste bloque, qui est responsable et quelle decision doit etre prise. Une mesure cyber non suivie finit souvent par disparaitre dans le quotidien. Le controle mensuel sert a garder une trace simple : fait, a faire, bloque, inutile.
Note aussi les exceptions. Si une personne ne peut pas appliquer une regle, documente pourquoi et fixe une date de correction. Une exception temporaire peut etre acceptable. Une exception oubliee devient une faiblesse durable.
Exemple concret
Une petite agence peut garder ses documents actifs dans un cloud professionnel, sauvegarder automatiquement ce cloud avec un outil dedie, puis faire un export mensuel chiffre sur un disque externe deconnecte. Les factures sont exportees depuis le logiciel de facturation, les propositions commerciales depuis le pipeline, et les documents clients depuis l espace de stockage. Le disque n est branche que pendant l export, puis range dans un endroit separe.
Ce dispositif n est pas parfait, mais il couvre deja plusieurs scenarios : suppression accidentelle, panne d ordinateur, compte cloud bloque, ransomware sur un poste, changement de logiciel. Le point important est la restauration. Si personne ne sait recuperer un dossier, la sauvegarde reste theorique.
Erreurs a eviter
Ne confonds pas versioning et sauvegarde complete. L historique d un outil cloud peut aider, mais il a des limites de duree, de droits et de volume. Ne garde pas non plus toutes les sauvegardes avec le meme compte administrateur. Si ce compte est compromis, l attaquant peut chercher a supprimer les copies.
Evite les sauvegardes silencieuses que personne ne regarde. Un outil peut echouer pendant des semaines a cause d un disque plein, d un compte expire ou d un changement de mot de passe. Une alerte non lue n est pas une protection. La routine doit inclure une verification visible.
Plan 30 minutes
Pendant dix minutes, liste les donnees critiques. Pendant dix minutes, verifie ou elles sont sauvegardees aujourd hui. Pendant dix minutes, fais un test de restauration sur un fichier non sensible. Si le test echoue, ne cherche pas a tout refaire dans l instant : note le blocage, le responsable et la prochaine action. C est cette trace qui transforme une intention en procedure.
Indicateurs a suivre
Suis trois indicateurs simples : date du dernier export, date du dernier test de restauration, nombre de sauvegardes en erreur. Si un indicateur reste vide, la procedure n est pas tenue. Note aussi le temps de restauration observe pendant les tests. Ce delai devient ton repere realiste pour parler de reprise d activite, au lieu d esperer que tout revienne en quelques minutes.
FAQ
Un Drive est-il une sauvegarde ?
Un Drive peut etre une copie, mais la synchronisation seule ne suffit pas toujours. Une suppression ou un chiffrement peut se propager.
Faut-il un disque externe ?
Il peut etre utile comme copie separee, surtout s il reste deconnecte hors sauvegarde et chiffre si les donnees sont sensibles.
Combien de temps garder les sauvegardes ?
Cela depend des donnees et de tes obligations. Garde au minimum des versions recentes et des archives coherentes avec tes obligations comptables et contractuelles.
CTA Devisignes
Pour mettre ces controles en place sans repartir de zero, utilise la checklist cyber TPE. Elle sert a suivre les comptes, les sauvegardes, les mises a jour et les actions prioritaires sans transformer la securite en projet interminable.
Sources
- https://cyber.gouv.fr/publications/fondamentaux-sauvegarde-systemes-dinformation
- https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/sauvegardes
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.