Retour aux actualités
    Technique

    Audit des sauvegardes en entreprise : méthode et tests 2026

    En 2025, 60 % des entreprises victimes d'un ransomware qui avaient des sauvegardes ont quand même subi des pertes de données significatives. La raison : les sauvegardes n'avaient jamais été réellement testées. Auditer ses sauvegardes n'est pas optionnel — c'est une obligation réglementaire (RGPD article 32, NIS2 article 21) et la seule façon de savoir si votre plan de reprise fonctionnera vraiment le jour J.

    Les erreurs de sauvegarde les plus fréquentes en PME

    Sauvegardes non testées

    La sauvegarde tourne, mais personne n'a vérifié depuis des mois (ou jamais) qu'elle se restaure correctement. C'est la première cause de perte de données.

    Sauvegardes sur le même réseau

    Les sauvegardes stockées sur un partage réseau accessible depuis le serveur principal sont chiffrées par le ransomware au même titre que les données originales.

    Pas de sauvegarde hors site

    Une seule copie locale ne protège pas contre les sinistres physiques (incendie, dégât des eaux, vol). La règle 3-2-1 exige une copie hors site.

    RPO trop long

    Des sauvegardes quotidiennes sur des données qui changent à chaque heure signifient potentiellement 23h de perte de données en cas d'incident.

    Sauvegardes partielles

    Seules certaines données critiques sont sauvegardées, mais les bases de données, les boîtes mail ou les configurations système sont oubliées.

    Chiffrement absent ou non documenté

    Les sauvegardes hors site non chiffrées exposent vos données en cas de vol du support ou de brèche chez l'hébergeur de backup.

    La méthode d'audit des sauvegardes en 5 étapes

    1

    Inventaire des données et des sauvegardes

    Listez toutes les données critiques de l'entreprise : bases de données métier (ERP, CRM), fichiers partagés, serveurs de messagerie, configuration réseau, données M365/Google Workspace. Pour chaque source de données, vérifiez si elle est sauvegardée, à quelle fréquence, où et par qui.

    2

    Vérification de la stratégie 3-2-1 (ou 3-2-1-1-0)

    La règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site. La règle évoluée 3-2-1-1-0 ajoute : 1 copie immuable (non modifiable) et 0 erreur vérifiée lors des tests de restauration. Vérifiez que votre architecture de sauvegarde respecte a minima 3-2-1.

    3

    Tests de restauration (le point le plus critique)

    Testez la restauration complète d'au moins une sauvegarde de chaque système critique. Mesurez le temps réel de restauration et comparez au RTO cible. Vérifiez l'intégrité des données restaurées (la sauvegarde était-elle corrompue ?). Testez sur un environnement isolé pour ne pas affecter la production.

    4

    Vérification de l'immuabilité et de la protection ransomware

    Les sauvegardes doivent être protégées contre le chiffrement par un ransomware. Vérifiez : isolation réseau des sauvegardes (aucun accès direct depuis les serveurs principaux), immutabilité (Object Lock S3, WORM tapes), accès en écriture restreint (seul l'agent de sauvegarde peut écrire, aucun accès RDP/SSH au serveur de backup depuis le réseau principal).

    5

    Vérification du chiffrement et de la documentation

    Vérifiez que toutes les sauvegardes hors site sont chiffrées (AES-256 minimum) et que les clés de chiffrement sont documentées et stockées séparément des sauvegardes. Vérifiez l'existence d'une procédure de restauration documentée, testée et accessible même si les systèmes principaux sont hors ligne.

    RTO et RPO : définir et mesurer vos objectifs

    RPO (Recovery Point Objective)

    Perte de données maximale acceptable : jusqu'à combien d'heures (ou minutes) de données peut-on perdre sans que ce soit catastrophique pour l'entreprise ?

    Transactions financières< 15 minutes
    ERP / données de commandes< 4 heures
    Fichiers bureautiques< 24 heures

    RTO (Recovery Time Objective)

    Durée maximale d'interruption acceptable : combien de temps peut-on tolérer que le système soit indisponible avant que l'impact soit critique ?

    E-commerce / vente en ligne< 2 heures
    ERP / système de gestion< 4 heures
    Serveurs de fichiers< 8 heures

    L'audit des sauvegardes consiste à mesurer le RTO réel (temps de restauration effectif mesuré lors des tests) et à le comparer au RTO cible. Si votre RTO cible est de 4h mais que la restauration complète prend 18h en réalité, vous avez un écart critique à corriger avant le prochain incident.

    Obligations réglementaires sur les sauvegardes

    RGPD (article 32)

    Impose la mise en place de moyens pour 'rétablir la disponibilité des données personnelles et l'accès à celles-ci dans des délais appropriés' en cas d'incident. L'absence de sauvegarde fonctionnelle sur des données personnelles constitue une violation de l'article 32.

    NIS2 (article 21)

    Impose des plans de continuité d'activité incluant la gestion des sauvegardes, la reprise après sinistre et la gestion des crises. Pour les entités essentielles, les sauvegardes font partie des éléments contrôlés lors des audits réglementaires ANSSI.

    DORA (secteur financier)

    Impose des tests réguliers de restauration des sauvegardes avec mesure effective des RTO/RPO. Les plans de continuité doivent être testés annuellement et les résultats documentés.

    Checklist de l'audit des sauvegardes

    Inventaire complet des sources de données à sauvegarder
    Vérification de la couverture (aucune donnée critique non sauvegardée)
    Conformité à la règle 3-2-1 minimum
    Tests de restauration réussis sur 100 % des systèmes critiques
    Mesure du RTO réel vs RTO cible
    Isolation réseau des sauvegardes (inaccessibles depuis le LAN principal)
    Immuabilité (Object Lock ou équivalent) sur au moins une copie
    Chiffrement de toutes les sauvegardes hors site (AES-256)
    Documentation des procédures de restauration accessible offline
    Clés de chiffrement documentées et stockées séparément
    Alertes en cas d'échec de sauvegarde configurées
    Fréquence des tests de restauration définie et respectée

    Auditez vos sauvegardes avant qu'il soit trop tard

    Nos auditeurs évaluent la qualité de vos sauvegardes et réalisent des tests de restauration réels : inventaire, vérification de la stratégie 3-2-1, tests de restauration chronométrés, rapport avec plan de remédiation. À partir de 1 200 € HT.

    Demander un audit des sauvegardes

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.