RPO, RTO, sauvegarde 3-2-1 : les chiffres qui protègent une PME

Une panne matérielle, un vol, un dégât des eaux ou une attaque par ransomware peuvent rendre les données d’une entreprise inaccessibles en quelques minutes et interrompre brusquement l’activité de l’entreprise. 
La règle de sauvegarde 3-2-1 est une méthode simple et éprouvée pour limiter le risque de perte totale et accélérer la reprise après incident. Pour protéger efficacement votre TPE ou PME, cette méthode doit être appliquée correctement en l’intégrant à un plan de reprise informatique (PRA).

À quoi sert la règle de sauvegarde 3-2-1 dans une petite entreprise ?

La règle 3-2-1 repose sur un principe clair :

• 3 copies des données
• 2 supports de stockage différents
• 1 copie conservée hors site

L’objectif est d’éviter qu’un seul incident ne détruise l’ensemble des données de l’entreprise.

Éviter les scénarios de perte totale

Prenons le cas d’un cabinet d’architectes disposant d’un serveur de fichiers et d’un NAS installés dans les mêmes locaux. En cas d’incendie ou de vol, les deux équipements disparaissent simultanément. La copie hors site devient alors la seule base de redémarrage possible.

Autre situation fréquente, notamment dans les entreprises de services : une attaque par ransomware chiffre non seulement les postes de travail, mais aussi les lecteurs réseau et les sauvegardes accessibles en permanence. Sans copie isolée ou hors ligne, la sauvegarde est compromise.

La règle 3-2-1 oblige donc à raisonner en termes de résilience et de surface d’attaque, et non de simple duplication de fichiers.

Quels supports de sauvegarde choisir sans dépasser son budget ?

Le principe des deux supports différents vise à limiter les pannes corrélées, par exemple deux disques identiques issus du même lot. Il s’agit de mixer les technologies pour réduire les risques.

Exemples de combinaisons adaptées aux TPE et PME

Cette organisation permet des restaurations rapides au quotidien, tout en conservant une solution de secours en cas de sinistre majeur. 

La rotation GFS pour sécuriser l’historique

La méthode GFS (Grandfather, Father, Son) consiste à conserver :

• Des sauvegardes journalières,
• Des sauvegardes hebdomadaires,
• Des sauvegardes mensuelles.

Elle protège efficacement contre les erreurs humaines, comme la suppression accidentelle de données détectée plusieurs semaines plus tard.

Comment relier la sauvegarde 3-2-1 à un PRA informatique ?

La sauvegarde fournit les données. Le PRA informatique fournit la méthode pour redémarrer.

Un PRA se définit d’abord à partir de deux indicateurs essentiels.

Que signifient RPO et RTO, concrètement ?

• RPO (Recovery Point Objective) : volume maximal de données que l’entreprise accepte de perdre, exprimé en durée.
• RTO (Recovery Time Objective) : durée maximale acceptable pour remettre un service en fonctionnement.

Exemple dans une PME de négoce :

• Un RPO de 24 heures signifie qu’une sauvegarde quotidienne peut suffire,
• Un RTO de 4 heures impose une restauration rapide, avec des procédures documentées.

Ces objectifs doivent être définis avant de choisir les outils techniques.

Quels types de sauvegardes combiner pour un PRA réaliste ?

Il existe trois grands types de sauvegardes, à combiner selon le volume de données et les contraintes de reprise.

Un schéma courant en PME consiste à effectuer une sauvegarde complète le week-end, puis des sauvegardes incrémentales chaque nuit. Cette organisation doit rester compatible avec le RTO fixé.

Il est également recommandé de classer les données par criticité. Les données comptables ou clients n’ont pas les mêmes exigences que des archives marketing.

Pourquoi tester les restaurations est indispensable ?

Une sauvegarde indiquée comme « réussie » ne garantit pas une reprise opérationnelle. Seuls les tests de restauration permettent de vérifier la réalité du PRA.

Lors d’un test, il convient de contrôler :

• L’accès à la bonne sauvegarde,
• Le temps réel de restauration,
• La cohérence des données,
• Les droits utilisateurs et les dépendances techniques.

Ces exercices révèlent souvent des points faibles invisibles en temps normal, comme des comptes administrateurs manquants ou des certificats expirés.

Le modèle 3-2-1-1-0 est-il pertinent pour les PME ?

Le modèle 3-2-1-1-0 renforce la règle classique en ajoutant :

• Une copie supplémentaire isolée des systèmes,
• L’objectif de zéro erreur détectée lors des tests de restauration.

Il répond à une réalité actuelle : les attaquants ciblent désormais les sauvegardes elles-mêmes. Pour les entreprises très dépendantes de leurs données, ce renforcement peut faire la différence lors d’une cyberattaque.

Pourquoi sauvegarde et assurance cyber sont complémentaires ?

Une cyberattaque entraîne souvent des frais importants, au-delà de la simple restauration des données : réponse à incident, expertise informatique, pertes d’exploitation, communication de crise.
Une assurance cyber permet de financer ces coûts et d’accompagner l’entreprise dans la reprise, en complément des mesures techniques de sauvegarde et de PRA.

Définitions essentielles - Sauvegarde 3-2-1, PRA, RTO...

• Sauvegarde 3-2-1 : règle de sauvegarde avec trois copies de données, sur deux supports différents, dont une hors site.
• PRA : plan de reprise informatique pour remettre les systèmes en service après incident.
• PCA : plan de continuité d’activité pour maintenir l’activité pendant une crise.
• RPO : quantité maximale de données acceptable à perdre.
• RTO : délai maximal acceptable pour la reprise d’un service.
• GFS : méthode de rotation journalière, hebdomadaire et mensuelle des sauvegardes.
• Ransomware : logiciel malveillant chiffrant les données pour exiger une rançon.

FAQ - Sauvegarde 3-2-1 et PRA

• Quelle est la différence entre sauvegarde 3-2-1 et PRA ?

La sauvegarde 3-2-1 décrit la répartition des copies de données. Le PRA décrit les étapes, responsabilités et délais pour redémarrer les systèmes après un incident.

• Le cloud suffit-il pour appliquer la règle 3-2-1 ?

Le cloud est une excellente solution pour la copie hors site, mais la règle impose aussi plusieurs copies et des supports différents, souvent avec une restauration rapide en local.

• À quelle fréquence tester les restaurations ?

Il est recommandé de réaliser des tests réguliers, au minimum une à deux fois par an, et après tout changement majeur d’infrastructure.

• Une TPE a-t-elle vraiment besoin d’un PRA ?

Oui. Même simplifié, un PRA évite les improvisations coûteuses et réduit fortement le temps d’arrêt en cas d’incident.