RPO, RTO, sauvegarde 3-2-1 : les chiffres qui protègent une PME.

RPO, RTO, sauvegarde 3-2-1 : les chiffres qui protègent une PME

Publié le 23/06/2026 10:00 | Mis à jour le 03/07/2026 14:58 | 4 min de lecture

Protégez votre activité avec Hiscox
Plus de 170 000 clients assurés et satisfaits

Obtenir mon devis


Une panne matérielle, un vol, un dégât des eaux ou une attaque par ransomware peuvent rendre les données d’une entreprise inaccessibles en quelques minutes et interrompre brusquement l’activité de l’entreprise. La perte d'accès aux données est un risque auquel font face de nombreuses TPE et PME. Mettre en place une stratégie de sauvegarde des données d'entreprise et un plan de reprise informatique pour PME est essentiel dans la gestion des risques numériques.


La règle de sauvegarde 3-2-1 est une méthode simple et éprouvée pour limiter le risque de perte totale et accélérer la reprise après incident. Pour protéger efficacement votre TPE ou PME, cette méthode doit être appliquée correctement en l’intégrant à un plan de reprise informatique (PRA).

Obtenez un résumé de l'article :

 

À quoi sert la règle de sauvegarde 3-2-1 dans une petite entreprise ?

La règle 3-2-1 repose sur un principe clair :

  • 3 copies des données
  • 2 supports de stockage différents
  • 1 copie conservée hors site

L’objectif est d’éviter qu’un seul incident ne détruise l’ensemble des données de l’entreprise. Cette règle constitue un pilier de la sécurité des données des entreprises, TPE, PME. Multiplier les copies et les emplacements de stockage réduit le risque de perte définitive d'informations. 

Éviter les scénarios de perte totale

Prenons le cas d’un cabinet d’architectes disposant d’un serveur de fichiers et d’un NAS installés dans les mêmes locaux. En cas d’incendie ou de vol, les deux équipements disparaissent simultanément. La copie hors site devient alors la seule base de redémarrage possible.

Autre situation fréquente, notamment dans les entreprises de services : une attaque par ransomware chiffre non seulement les postes de travail, mais aussi les lecteurs réseau et les sauvegardes accessibles en permanence. Sans copie isolée ou hors ligne, la sauvegarde est compromise.

La règle 3-2-1 oblige donc à raisonner en termes de résilience et de surface d’attaque, et non de simple duplication de fichiers.

Quels supports de sauvegarde choisir sans dépasser son budget ?

Le principe des deux supports différents vise à limiter les pannes corrélées, par exemple deux disques identiques issus du même lot. Il s’agit de mixer les technologies pour réduire les risques.

Exemples de combinaisons adaptées aux TPE et PME

Type d’entrepriseCopies localesCopie hors site
Indépendant ou TPEPoste de travail + disque externeCloud sécurisé
PME avec serveurServeur + NAS localCloud ou site distant
Activité critiqueServeur + stockage rapide localRéplication distante isolée

Cette organisation permet des restaurations rapides au quotidien, tout en conservant une solution de secours en cas de sinistre majeur. 

La rotation GFS pour sécuriser l’historique

La méthode GFS (Grandfather, Father, Son) consiste à conserver :

  • Des sauvegardes journalières,
  • Des sauvegardes hebdomadaires,
  • Des sauvegardes mensuelles.

Elle protège efficacement contre les erreurs humaines, comme la suppression accidentelle de données détectée plusieurs semaines plus tard.

Comment relier la sauvegarde 3-2-1 à un PRA informatique ?

La sauvegarde fournit les données. Le PRA informatique fournit la méthode pour redémarrer.

Un PRA se définit d’abord à partir de deux indicateurs essentiels.

Que signifient RPO et RTO, concrètement ?

  • RPO (Recovery Point Objective) : volume maximal de données que l’entreprise accepte de perdre, exprimé en durée.
  • RTO (Recovery Time Objective) : durée maximale acceptable pour remettre un service en fonctionnement.

Exemple dans une PME de négoce :

  • Un RPO de 24 heures signifie qu’une sauvegarde quotidienne peut suffire,
  • Un RTO de 4 heures impose une restauration rapide, avec des procédures documentées.

Ces objectifs doivent être définis avant de choisir les outils techniques.

Pour une TME qui traite des commandes, factures ou données clients au quotidien, le RPO est directement lié à la qualité de la sauvegarde des données de l'entreprise. Plus les sauvegardes sont fréquentes, moins la quantité d'informations susceptibles d'être perdues est importante. 

Le RTO constitue un indicateur clé de la continuité d'activité informatique. Il mesure la capacité de l'entreprise à redémarrer ses outils critiques après un incident et à limiter les conséquences opérationnelles d'une interruption de service. 

Quels types de sauvegardes combiner pour un PRA réaliste ?

Un plan de reprise informatique pour PME détaille les procédures à suivre pour restaurer les systèmes, récupérer les données et remettre les activités en fonctionnement après un sinistre ou une cyberattaque. Son objectif est de réduire le temps d'interruption et de préserver la continuité des opérations. 

Il existe trois grands types de sauvegardes, à combiner selon le volume de données et les contraintes de reprise :

Type de sauvegardeAvantagesLimites
ComplèteRestauration simpleTemps et stockage élevés
IncrémentaleRapide et légèreChaîne de restauration plus longue
DifférentielleBon compromisVolume croissant

 

Un schéma courant en PME consiste à effectuer une sauvegarde complète le week-end, puis des sauvegardes incrémentales chaque nuit. Cette organisation doit rester compatible avec le RTO fixé.

Il est également recommandé de classer les données par criticité. Les données comptables ou clients n’ont pas les mêmes exigences que des archives marketing. 

Un PRA efficace contribue directement à la continuité d'activité informatique en définissant les responsabilités, les priorités de restauration et les ressources nécessaires à la reprise. 

Pourquoi tester les restaurations est indispensable ?

Une sauvegarde indiquée comme « réussie » ne garantit pas une reprise opérationnelle. Seuls les tests de restauration permettent de vérifier la réalité du PRA.

Lors d’un test, il convient de contrôler :

  • L’accès à la bonne sauvegarde,
  • Le temps réel de restauration,
  • La cohérence des données,
  • Les droits utilisateurs et les dépendances techniques.

Ces exercices révèlent souvent des points faibles invisibles en temps normal, comme des comptes administrateurs manquants ou des certificats expirés.

Le modèle 3-2-1-1-0 est-il pertinent pour les PME ?

Le modèle 3-2-1-1-0 renforce la règle classique en ajoutant :

  • Une copie supplémentaire isolée des systèmes,
  • L’objectif de zéro erreur détectée lors des tests de restauration.

Il répond à une réalité actuelle : les attaquants ciblent désormais les sauvegardes elles-mêmes. Pour les entreprises très dépendantes de leurs données, ce renforcement peut faire la différence lors d’une cyberattaque.

Pourquoi sauvegarde et assurance cyber sont complémentaires ?

Une cyberattaque entraîne souvent des frais importants, au-delà de la simple restauration des données : réponse à incident, expertise informatique, pertes d’exploitation, communication de crise.
Une assurance cyber permet de financer ces coûts et d’accompagner l’entreprise dans la reprise, en complément des mesures techniques de sauvegarde et de PRA.

Définitions essentielles - Sauvegarde 3-2-1, PRA, RTO...

  • Sauvegarde 3-2-1 : règle de sauvegarde avec trois copies de données, sur deux supports différents, dont une hors site.
  • PRA : plan de reprise informatique pour remettre les systèmes en service après incident.
  • PCA : plan de continuité d’activité pour maintenir l’activité pendant une crise.
  • RPO : quantité maximale de données acceptable à perdre.
  • RTO : délai maximal acceptable pour la reprise d’un service.
  • GFS : méthode de rotation journalière, hebdomadaire et mensuelle des sauvegardes.
  • Ransomware : logiciel malveillant chiffrant les données pour exiger une rançon.

FAQ - Sauvegarde 3-2-1 et PRA

  • Quelle est la différence entre sauvegarde 3-2-1 et PRA ?

La sauvegarde 3-2-1 décrit la répartition des copies de données. Le PRA décrit les étapes, responsabilités et délais pour redémarrer les systèmes après un incident.

  • Le cloud suffit-il pour appliquer la règle 3-2-1 ?

Le cloud est une excellente solution pour la copie hors site, mais la règle impose aussi plusieurs copies et des supports différents, souvent avec une restauration rapide en local.

  • À quelle fréquence tester les restaurations ?

Il est recommandé de réaliser des tests réguliers, au minimum une à deux fois par an, et après tout changement majeur d’infrastructure.

  • Une TPE a-t-elle vraiment besoin d’un PRA ?

Oui. Même simplifié, un PRA évite les improvisations coûteuses et réduit fortement le temps d’arrêt en cas d’incident.

Protégez votre activité avec Hiscox
Plus de 170 000 clients assurés et satisfaits

Obtenir mon devis