> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme.md).

# Mettre en œuvre des sauvegardes sécurisées

{% hint style="info" %}
Toutes les informations et tous les exemples de cet article sont des recommandations de mise en œuvre pour des sauvegardes sécurisées.

Rien de ce qui suit n’a de valeur contractuelle.
{% endhint %}

Les sauvegardes sont votre dernière ligne de défense lors d’attaques par rançongiciel et d’attaques destructrices.

Le succès de la récupération dépend de la qualité des sauvegardes, de leur fréquence, de la rétention et de la capacité à restaurer rapidement.

### Conditions de l’assurance cyber Stoïk

L’assurance cyber Stoïk définit des exigences de sauvegarde lors de la souscription.

Exigence minimale : **au moins une sauvegarde hebdomadaire** doit être :

* **hors ligne**, ou
* sur **un stockage immuable**

Avec une **rétention minimale de 2 semaines**.

Si le hors ligne ou l’immuable n’est pas possible, une option moins recommandée est une **sauvegarde en ligne sécurisée**.

Le système de sauvegarde reste connecté, mais doit satisfaire **à toutes les** exigences ci-dessous :

* Le système de sauvegarde est **en dehors du domaine AD**
* Le système de sauvegarde est **segmenté** (pare-feu + accès par liste d’autorisation)
* La suppression/modification des sauvegardes n’est possible que via une **console web protégée par MFA**

Objectif : même avec un administrateur de domaine ou cloud compromis, un attaquant ne peut toujours pas effacer les sauvegardes.

### Types de sauvegarde (et ce qui compte)

| Type                                                | Exemples typiques                                                            | Pourquoi c’est important                                                | Répond à l’exigence ?                                                            |
| --------------------------------------------------- | ---------------------------------------------------------------------------- | ----------------------------------------------------------------------- | -------------------------------------------------------------------------------- |
| Sauvegardes hors ligne                              | Disques externes, supports USB, NAS hors ligne, bandes magnétiques (LTO/DLT) | Protection maximale. Inaccessible via le réseau.                        | <i class="fa-check" style="color:$success;">:check:</i>                          |
| Sauvegardes en ligne immuables (cloud)              | AWS S3 Object Lock, Azure immutable blobs (WORM), Wasabi Object Lock         | Accessibles en ligne, mais ne peuvent pas être modifiées ni supprimées. | <i class="fa-check" style="color:$success;">:check:</i>                          |
| Sauvegardes en ligne (sur site / centre de données) | Serveur de sauvegarde dédié avec accès restreint                             | Peut être acceptable **seulement si** l’accès est fortement isolé.      | <i class="fa-check" style="color:$success;">:check:</i> (uniquement si renforcé) |
| Stockage en ligne « non immuable » (cloud)          | Dropbox, Google Drive, OneDrive sans WORM                                    | Facile à utiliser, facile à supprimer si les comptes sont compromis.    | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                           |
| Sauvegardes locales                                 | Disques locaux, copie de fichiers sur le même serveur, mise en miroir RAID   | Est chiffré ou supprimé avec l’hôte. Ce n’est pas un plan de reprise.   | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                           |

**« Sauvegarde en ligne sécurisée »** signifie « résistant à un scénario type de rançongiciel qui tente de supprimer toutes les sauvegardes ».

### Options de sauvegarde hors ligne

Utilisez une rotation. Conservez **au moins une** copie récente déconnectée.

| Option                          | Comment procéder en toute sécurité                                                                                                                                     |
| ------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Bandes magnétiques (LTO/DLT)    | Faites tourner au moins 2 bandes. Conservez en permanence 1 bande hors site/hors ligne.                                                                                |
| NAS hors ligne                  | Connectez-le uniquement pendant la fenêtre de sauvegarde. Déconnectez-le après la tâche. Faites tourner plusieurs appareils si possible.                               |
| Disques externes / supports USB | Connectez-les uniquement pendant la fenêtre de sauvegarde. Déconnectez-les après la tâche. Stockez-les dans un endroit verrouillé. Faites tourner plusieurs appareils. |

### Options de sauvegarde immuables

#### Sauvegardes immuables hébergées dans le cloud

| Fournisseur                 | Fonction d’immuabilité                                                                               | Guide / docs                                                                                                                                  |
| --------------------------- | ---------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------- |
| AWS                         | [S3 Object Lock](https://aws.amazon.com/s3/features/object-lock/) (et/ou Glacier)                    | [Sauvegardes S3 immuables](broken://pages/89cd578d3e4de53fbfed8058038f81ccf5a91db0)                                                           |
| Azure                       | [Blobs immuables (WORM)](https://learn.microsoft.com/azure/storage/blobs/immutable-storage-overview) | [Solutions de sauvegarde cloud](broken://pages/9bf29ce0102fab68eaae56b9d1b75c88e3e08c1e)                                                      |
| Wasabi                      | [S3 Object Lock](https://wasabi.com/cloud-object-storage/s3-object-lock)                             | [Sauvegardez vos données avec Wasabi](broken://pages/3a0a982cb93ba869aa261b9e8c73b38266504b03)                                                |
| Acronis Cyber Protect Cloud | Mode conformité (vérifiez votre offre/version)                                                       | [Docs Acronis 1](https://kb.acronis.com/content/69814), [Docs Acronis 2](https://kb.acronis.com/content/71557)                                |
| Scaleway                    | Stockage d’objets (vérifiez la prise en charge d’Object Lock)                                        | [Concepts de Scaleway Object Storage](https://www.scaleway.com/en/docs/storage/object/concepts/)                                              |
| OVHcloud                    | Object Lock pour le stockage d’objets S3                                                             | [Guide OVHcloud](https://help.ovhcloud.com/csm/en-public-cloud-storage-s3-managing-object-lock?id=kb_article_view\&sysparm_article=KB0047399) |
| Fast LTA                    | « Zero Loss Storage »                                                                                | [Présentation de Fast LTA](https://www.fast-lta.de/en/topic/zero-loss)                                                                        |

#### Sauvegardes immuables hébergées localement

| Fournisseur / produit           | Prérequis                                                  | Guide / docs                                                                                                                                                                                                                              |
| ------------------------------- | ---------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Veeam Linux Hardened Repository | Veeam >= 11. Nécessite le durcissement de l’hôte du dépôt. | [Référence Veeam](https://cloud.ibm.com/docs/vmwaresolutions?topic=vmwaresolutions-veeam-cr-sa-lhr)                                                                                                                                       |
| Synology                        | DSM >= 7.2. Nécessite des modèles pris en charge.          | [Modèles pris en charge](https://kb.synology.com/DSM/tutorial/which_synology_nas_models_support_WriteOnce_and_secure_snapshots), [Docs sur les instantanés immuables](https://kb.synology.com/DSM/tutorial/what_is_an_immutable_snapshot) |
| Dell Data Domain                | Utilisez le mode conformité.                               | [Livre blanc Dell](https://education.dell.com/content/dam/dell-emc/documents/en-us/2020KS_Steen_Immutable_Data_Protection_for_Any_Application.pdf)                                                                                        |

### Exemples de sauvegardes « non sécurisées »

Il s’agit de schémas courants qui échouent lorsque des attaquants prennent le contrôle des comptes administrateur.

| Exemple                                                     | Pourquoi cela échoue                                                                                                         |
| ----------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------- |
| Dropbox / Google Drive / OneDrive / SharePoint (sans WORM)  | Un administrateur compromis peut supprimer les données et aussi purger les corbeilles / la rétention.                        |
| NAS « immuable » implémenté uniquement en logiciel          | Si le système d’exploitation du NAS est compromis, l’attaquant peut quand même détruire les volumes.                         |
| Centre de données externalisé avec un lien réseau permanent | Fonctionnellement similaire à un serveur de fichiers en ligne. Un rançongiciel peut chiffrer/supprimer via le lien.          |
| Stockage cloud non immuable                                 | Si l’administrateur cloud est compromis, l’attaquant peut supprimer les buckets, les sauvegardes et les règles de rétention. |

### Contrôles opérationnels (recommandés)

Même avec un stockage hors ligne/immuable, les contrôles opérationnels déterminent souvent le succès de la récupération :

* **Tester les restaurations** selon un calendrier (au moins mensuellement pour les systèmes critiques).
* Utilisez **des comptes d’administration de sauvegarde distincts**. Ne les synchronisez pas depuis AD.
* Imposez **MFA** sur les consoles de sauvegarde et les comptes cloud.
* Conservez **les identifiants de sauvegarde** hors des postes utilisateurs (pas de mots de passe enregistrés dans les scripts).
* Activez **des alertes** sur les échecs des tâches de sauvegarde, les changements de rétention et les tentatives de suppression.
* Documentez le runbook de restauration et conservez-en une copie **hors ligne**.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
