> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme/back-up-your-data-with-wasabi.md).

# Sauvegardez vos données avec Wasabi

Ce guide montre comment copier des sauvegardes Veeam vers Wasabi (stockage d’objets compatible S3).

Résultat attendu : une copie hors site sur un stockage immuable (Object Lock).

Conservez la rétention alignée sur votre politique. Si vous suivez la base de référence de Stoïk, conservez **au moins 2 semaines** de sauvegardes immuables. Voir [Mettre en œuvre des sauvegardes sécurisées](file:///).

### Prérequis

* Un compte Wasabi avec accès à la console.
* Veeam Backup & Replication avec prise en charge du stockage d’objets.
* Un accès sortant depuis le serveur Veeam (ou la passerelle) vers votre point de terminaison Wasabi.
* Un emplacement pour stocker la clé d’accès Wasabi et la clé secrète (gestionnaire de mots de passe).

{% hint style="info" %}
Utilisez le moindre privilège lorsque cela est possible. Commencez avec des autorisations larges pour valider la connectivité, puis restreignez le compte de service au seul bucket et au seul préfixe utilisés par Veeam.
{% endhint %}

### Compte de service Veeam

Avant tout, il est essentiel de créer un compte de service Wasabi dédié. Ce compte contribue à sécuriser les données et à mieux gérer les autorisations d’accès aux ressources Wasabi.

Les comptes de service sont conçus spécifiquement pour être utilisés par des applications ou services tiers et permettent de limiter les autorisations à ce qui est strictement nécessaire à l’usage prévu, réduisant ainsi les risques de sécurité.

Pour ce faire, accédez à la section « Users » depuis la [console Wasabi](https://console.wasabisys.com/)puis à l’onglet « Users » (accessible directement via le [lien suivant](https://console.wasabisys.com/#/users)) comme indiqué dans la figure ci-dessous :

<figure><img src="/files/349e374ffb8d8fcc1c6d0dc104d7fd7f59780290" alt=""><figcaption></figcaption></figure>

Il suffit de cliquer sur le bouton « Create user » pour commencer à créer le compte de service.

Dans la première section, vous devez définir le nom du compte de service, par exemple « Veeam\_Service\_Account ».

<figure><img src="/files/54c0ca3e9f155ec942466e935b70c3db7f53b224" alt=""><figcaption></figcaption></figure>

Comme le compte de service est destiné à être utilisé uniquement avec Veeam, il est également important de cocher la case « Programmatic (create API key) » avant de passer à la section suivante.

<figure><img src="/files/eb7dd9ace21691002e0c25df95023d9058d968cf" alt=""><figcaption></figcaption></figure>

Dans cette section, il n’est pas nécessaire de définir un groupe pour le compte de service ; vous pouvez passer directement à l’étape suivante.

<figure><img src="/files/4e0aa11b5ffef405469a86cfe82ff3e630b277a6" alt=""><figcaption></figcaption></figure>

Cette partie est consacrée à l’application des politiques d’accès au compte de service. Pour le compte de service, seule la politique « AmazonS3FullAccess » est requise. Saisissez-la simplement dans le champ disponible et sélectionnez-la avant de passer à la section suivante.

<figure><img src="/files/062f9c9abccef17847a2d35a39931cafa23ef965" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
« AmazonS3FullAccess » est simple, mais large.

Une fois votre bucket créé, privilégiez une politique limitée au bucket (exemple ci-dessous) et supprimez l’accès complet :

```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListBucket",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketLocation"],
      "Resource": "arn:aws:s3:::YOUR-BUCKET",
      "Condition": {"StringLike": {"s3:prefix": ["veeam/*"]}}
    },
    {
      "Sid": "BucketObjects",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject", "s3:PutObject", "s3:DeleteObject",
        "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts"
      ],
      "Resource": "arn:aws:s3:::YOUR-BUCKET/veeam/*"
    },
    {
      "Sid": "ObjectLock",
      "Effect": "Allow",
      "Action": [
        "s3:GetObjectRetention", "s3:PutObjectRetention",
        "s3:GetObjectLegalHold", "s3:PutObjectLegalHold"
      ],
      "Resource": "arn:aws:s3:::YOUR-BUCKET/veeam/*"
    }
  ]
}
```

Ajustez le `veeam/` préfixe pour qu’il corresponde au dossier de votre dépôt.
{% endhint %}

La section finale vous permet de vérifier toutes les informations du compte de service avant de confirmer sa création en cliquant sur « Create User ».

<figure><img src="/files/57f03c398650cbb75c4a442335cf6d20db2d61be" alt=""><figcaption></figcaption></figure>

Une dernière fenêtre affichera alors la clé d’accès et la clé secrète du compte de service.

Vous pouvez cliquer sur le lien « Show » pour afficher la clé secrète ou sur le bouton « Download CSV » pour télécharger la clé d’accès ainsi que sa clé secrète associée.

Cette paire de clés doit être stockée en toute sécurité, par exemple dans un gestionnaire de mots de passe, car elle sera utilisée plus tard (la clé d’accès secrète ne sera plus visible).

### Création d’un bucket

Un bucket est un conteneur de stockage d’objets qui vous permet de stocker, récupérer et gérer des données de manière fiable et sécurisée. La création d’un bucket adapté aux besoins de l’entreprise permet une gestion efficace des données et garantit la résilience et la durabilité des données stockées. De plus, un bucket Wasabi correctement configuré offre des fonctions avancées telles que le versioning ainsi que la gestion des accès et des autorisations.

Pour commencer la création d’un bucket Wasabi, accédez à la [console Wasabi](https://console.wasabisys.com/)puis ouvrez la section « Buckets » comme illustré dans la figure ci-dessous.

<figure><img src="/files/d8ed97f6673f2d02f234d80c46269b0d2c4331fb" alt=""><figcaption></figcaption></figure>

Cliquez ensuite sur le bouton « Create Bucket » pour commencer la création d’un bucket.

<figure><img src="/files/7ac7d591afd025184484f3d59dd72153ef65f023" alt=""><figcaption></figcaption></figure>

La première information à fournir est le nom du bucket, qui doit être unique, par exemple `company-backup-veeam`.

Choisissez ensuite la région la plus proche de votre infrastructure Veeam. Utilisez le point de terminaison indiqué dans la console (par exemple `s3.eu-west-2.wasabisys.com`).

<figure><img src="/files/abfd85250172b5d078e7da435e09b1a2ba3313bd" alt=""><figcaption></figcaption></figure>

Ensuite, vous devez activer le versioning du bucket et le verrouillage des objets en cochant les cases appropriées comme illustré ci-dessus, afin de rendre les futures sauvegardes immuables. Vous pouvez également activer la journalisation des événements pour suivre toutes les actions effectuées sur le bucket en cochant la case « Bucket Logging ».

<figure><img src="/files/dc09e4ea801cc2a407d7eee153fe86b5ddb2cca1" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Si vous avez besoin de sauvegardes immuables, activez **Object Lock à la création du bucket**. Considérez cela comme irréversible.
{% endhint %}

La section finale vous permet de vérifier toutes les informations du bucket avant de confirmer sa création en cliquant sur « Create Bucket ».

Si le bucket n’apparaît pas immédiatement dans Veeam, attendez quelques minutes puis réessayez.

### Sauvegardes vers un bucket Wasabi via Veeam

Une fois le compte de service et le bucket Wasabi créés, vous pouvez configurer une nouvelle tâche de sauvegarde Veeam pour automatiser la sauvegarde des données et des systèmes du système d’information vers le cloud Wasabi.

Avant de créer cette tâche, il est essentiel de créer un dépôt de sauvegarde Wasabi depuis la console d’administration Veeam.

### Création d’un dépôt de sauvegarde

Un dépôt de sauvegarde lié au bucket Wasabi doit être créé depuis l’outil Veeam.

Dans l’interface « Backup Infrastructure » de Veeam, sélectionnez « Backup Repositories » puis cliquez sur « Add Repository ».

<figure><img src="/files/9cf332ce0d3de267b1eedfbb9306e9a85931cdce" alt=""><figcaption></figcaption></figure>

Sélectionnez ensuite le type de dépôt « Object Storage ».

<figure><img src="/files/ec9616197a61648fb180217cc5f82200949d3088" alt=""><figcaption></figcaption></figure>

Le type de dépôt cloud à sélectionner est « Wasabi Cloud Storage ».

![](/files/2cbe3134c6c0cc8ee7438e818ad213c18ee91079)

Une nouvelle fenêtre s’ouvre, marquant le début de la configuration du dépôt de sauvegarde Wasabi.

![](/files/c54f1ed49b324074085e431e1e643df8e51d6470)

Après avoir défini le nom et la description, cliquez sur « Next » pour continuer.

<figure><img src="/files/38987933d7648bb5ef0261c89f5e047d39c8cb23" alt=""><figcaption></figcaption></figure>

La région à sélectionner doit correspondre au bucket créé précédemment (voir ci-dessus), à savoir « eu-west-2 ».

Vous devez ensuite ajouter les informations d’identification du compte de service Wasabi. Cliquez sur « Add… », puis saisissez les clés d’accès et secrète récupérées précédemment (voir ci-dessus), comme indiqué dans la figure ci-dessous.

<figure><img src="/files/96df21ddebb93210a326b6321fa431db30db32cd" alt=""><figcaption></figcaption></figure>

Si un proxy est requis depuis les machines sauvegardées, il peut être configuré en cliquant sur « Choose ».

Une fois ces étapes terminées, cliquez sur « Next » pour continuer la configuration du dépôt de sauvegarde.

<figure><img src="/files/9f88cce63072df783e5042b657fc423b0b0224c5" alt=""><figcaption></figcaption></figure>

Cette étape consiste à configurer le bucket Wasabi. Cliquez sur les boutons « Browse » pour sélectionner le bucket Wasabi créé précédemment et un dossier à l’intérieur du bucket (créez-en un si nécessaire).

<figure><img src="/files/df59db48cd474717ceef07f86ff577150aad08d4" alt=""><figcaption></figcaption></figure>

Enfin, définissez les options correspondant à votre capacité et à votre politique de rétention :

* Facultatif : limitez la consommation de stockage d’objets à une valeur qui plafonne les coûts.
* Rendre les sauvegardes récentes immuables pendant : **14 jours** (ou plus, selon votre politique).

Une fois le bucket Wasabi configuré, cliquez sur « Next » pour continuer.

<figure><img src="/files/7655919507475b040b5955f0372cc44b5b266c8c" alt=""><figcaption></figcaption></figure>

À ce stade, vous devez spécifier le serveur de montage et son dossier de cache d’écriture, qui seront utilisés pendant la restauration, à l’aide des boutons « Add New… » et « Browse… » respectivement. Un appliance d’assistance est déjà configuré ; il correspond au serveur de sauvegarde Veeam. Il peut être modifié en cliquant sur « Configure » si nécessaire.

Lors de l’utilisation de VMware, il est recommandé de cocher la case « Enable vPower NFS service on the mount server » avant de passer à l’étape suivante.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fo2YU3UQie4hiqT2YWxRn%2Fuploads%2Ffqm9HonvfoE39Dzymqd%2Fimage.png?alt=media&#x26;token=7580af8c-c88c-475e-a758-25fbe8911742" alt=""><figcaption></figcaption></figure>

Cliquez sur « Apply » pour créer le dépôt de sauvegarde.

<figure><img src="/files/338d79c8d095a5a46f77a00bac54d7649fd54f37" alt=""><figcaption></figcaption></figure>

La création du dépôt peut prendre quelques minutes avant que vous puissiez cliquer sur « Next ».

<figure><img src="/files/51a9157f4a3bd96cb75cfe133f1d629e674e43c5" alt=""><figcaption></figcaption></figure>

Le dépôt de sauvegarde est maintenant créé et un résumé de ses informations s’affiche.

### Création d’une tâche de copie de sauvegarde

Cette section est consacrée à la création d’une tâche de sauvegarde vers le dépôt de sauvegarde. Dans la plupart des cas, des tâches et des dépôts de sauvegarde sur site existent déjà, c’est pourquoi il est possible de créer une tâche de copie de sauvegarde plutôt que de créer une nouvelle tâche de sauvegarde à partir de zéro, comme décrit ci-dessous.

Pour ce faire, depuis l’interface « Home » de Veeam, cliquez sur « Backup Copy ».

<figure><img src="/files/0f826fd4aab1b706eae68cd2a9033870ccbd663a" alt=""><figcaption></figcaption></figure>

La première étape consiste à spécifier le nom de la tâche et à sélectionner le mode de copie, comme illustré dans la figure ci-dessous.

<figure><img src="/files/3e6e4e34c801816849bbf8475f18352e7804cd5a" alt=""><figcaption></figcaption></figure>

Il est recommandé de choisir le mode « Periodic copy » afin de ne récupérer que les derniers points de restauration avant de passer à l’étape suivante.

<figure><img src="/files/eec35b4c78c3dd2344440c92cb023564c92dfd6c" alt=""><figcaption></figcaption></figure>

À ce stade, vous devez choisir si la copie doit se faire à partir d’un dépôt existant (« From repositories… ») ou d’une tâche existante (« From jobs… »).

<figure><img src="/files/6804a7ba7459cec9b08bb7cfa340e61d846f4695" alt=""><figcaption></figcaption></figure>

Dans l’exemple ci-dessus, une copie à partir d’un dépôt de sauvegarde — en particulier un serveur Windows — est sélectionnée.

<figure><img src="/files/be1a945a0976d8c2a70f7fd8e79e85ea3b2d4887" alt=""><figcaption></figcaption></figure>

Commencez par sélectionner le dépôt de sauvegarde associé au bucket Wasabi créé précédemment, puis définissez une période minimale de rétention de 5 jours pour les sauvegardes quotidiennes.

Il est également possible de configurer des sauvegardes supplémentaires (hebdomadaires, mensuelles, annuelles) pour plus de sécurité en cochant « Keep certain full backups longer for archival purposes » puis en cliquant sur « Configure ».

Enfin, il est recommandé d’activer au moins mensuellement des contrôles d’intégrité des sauvegardes afin d’éviter toute corruption des données. Pour ce faire, cliquez sur « Advanced », puis cochez la case « Perform backup files health check (detects and auto-heals corruption) on: » et modifiez l’heure et la date de vérification via le bouton « Configure… » si nécessaire, dans l’onglet « Maintenance ».

<figure><img src="/files/48d6870dd34220d0204500980058a8f8f1cd3344" alt=""><figcaption></figcaption></figure>

La section suivante est consacrée au transfert des données.

<figure><img src="/files/c8a19231e00b5308fd10b78e4014d133c387e0f1" alt=""><figcaption></figcaption></figure>

Il est recommandé de choisir le mode de transfert de données « Direct » si la connexion Internet est suffisante avant de passer à la section suivante.

<figure><img src="/files/cd7000320bad23e004dbe187cdc25c67def7b2e2" alt=""><figcaption></figcaption></figure>

Il est recommandé d’effectuer des sauvegardes quotidiennes en cochant « Run the job automatically » et en sélectionnant l’heure la plus appropriée.

Il est également conseillé de configurer la tâche pour réessayer automatiquement les sauvegardes ayant échoué en cochant « Retry failed items processing », avec 3 tentatives et un intervalle de 10 minutes entre les essais.

Une fois configuré, passez à la section suivante.

<figure><img src="/files/f82e593073f85d3d5614c4f37c1fe7ed57f89289" alt=""><figcaption></figcaption></figure>

Pour terminer la création de la tâche de copie de sauvegarde, cliquez simplement sur « Finish » après avoir coché « Enable the job when I click Finish » afin de déclencher immédiatement une copie vers le dépôt de sauvegarde Wasabi précédemment configuré.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme/back-up-your-data-with-wasabi.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
