La plupart des dirigeants de PME affirment que leurs données sont sauvegardées. Mais quand on pose la question « avez-vous déjà testé une restauration complète ? », le silence est révélateur. Avoir une sauvegarde et avoir une sauvegarde fiable sont deux réalités très différentes.
Au Québec, les PME dépendent de leurs données autant que de leur équipe. Comptabilité, contrats, correspondance avec les clients, plans de projets, bases de données — la perte de ces informations peut paralyser une entreprise pendant des jours, voire mettre en péril sa survie. C'est ici que la règle 3-2-1 entre en jeu.
D'où vient la règle 3-2-1 ?
Le photographe américain Peter Krogh a popularisé ce principe dans les années 2000 pour protéger ses archives numériques. L'idée était simple : aucun support de stockage n'est infaillible, alors il faut multiplier les copies et les emplacements. Le milieu de la sécurité informatique a rapidement adopté cette approche, qui est aujourd'hui recommandée par des organismes comme le Centre canadien pour la cybersécurité.
Le principe tient en trois chiffres :
- 3 — Conservez au moins trois copies de vos données.
- 2 — Utilisez au moins deux types de supports différents.
- 1 — Gardez au moins une copie dans un emplacement physique distinct.
Chaque chiffre répond à un risque précis. Voyons pourquoi.
Trois copies : la redondance contre la malchance
Vos données de production — les fichiers que vos employés utilisent au quotidien — constituent la première copie. Les deux autres sont des sauvegardes distinctes.
Pourquoi ne pas se contenter de deux copies (l'original et une sauvegarde) ? Parce que les pannes ont tendance à arriver en cascade. Un serveur qui tombe peut corrompre la sauvegarde locale si elle est en cours au même moment. Un rançongiciel qui chiffre vos fichiers peut aussi chiffrer la copie de sauvegarde connectée au même réseau.
Avec trois copies, vous vous protégez contre la coïncidence malheureuse. La probabilité que trois systèmes indépendants tombent en panne simultanément est extrêmement faible.
Deux supports : diversifier pour ne pas tout perdre d'un coup
Si vos trois copies sont toutes sur des disques durs du même lot, un défaut de fabrication pourrait les affecter toutes. Si elles sont toutes sur le même réseau, un rançongiciel pourrait toutes les atteindre.
Utiliser deux types de supports différents élimine ce risque de défaillance commune. En pratique, pour une PME, cela signifie généralement combiner du stockage local (serveur, NAS) et du stockage infonuagique.
Le stockage local offre la rapidité. Restaurer un fichier depuis un NAS dans votre bureau prend quelques minutes. C'est votre première ligne de défense contre les erreurs humaines et les petits incidents du quotidien.
Le stockage infonuagique offre la distance. Vos données sont envoyées dans un centre de données professionnel, à des kilomètres de vos locaux. C'est votre protection contre les sinistres physiques et les cyberattaques qui toucheraient votre réseau local.
D'autres supports existent. Les bandes magnétiques (LTO) restent utilisées par certaines entreprises pour l'archivage à long terme en raison de leur durabilité et de leur faible coût par téraoctet. Mais pour la PME typique de 10 à 50 employés, la combinaison stockage local et infonuagique est la plus pratique.
Une copie hors site : se protéger contre le pire
C'est le volet le plus souvent négligé, et pourtant le plus vital. Si toutes vos copies sont dans le même bâtiment, un incendie, un dégât d'eau ou un cambriolage peut tout effacer.
Le Centre canadien pour la cybersécurité publie régulièrement des avis rappelant l'importance du stockage hors site. La logique est implacable : les données doivent survivre à la destruction physique du lieu où elles ont été créées.
Pour les PME, la sauvegarde infonuagique est devenue la solution hors site par défaut. Les données sont chiffrées avant de quitter votre réseau, transmises par un canal sécurisé et stockées dans un centre de données certifié — idéalement au Canada, pour rester conforme aux exigences de la Loi 25 sur la protection des renseignements personnels.
La règle évolue : 3-2-1-1-0
Les rançongiciels ont changé la donne. Les variantes modernes de ces logiciels malveillants sont programmées pour chercher et détruire les sauvegardes avant de chiffrer les données de production. Si vos copies de sauvegarde sont accessibles depuis votre réseau, elles sont vulnérables.
C'est pourquoi l'industrie a fait évoluer la règle vers le modèle 3-2-1-1-0 :
Le deuxième 1 : une copie immuable ou déconnectée. Une copie immuable est une sauvegarde qui ne peut être ni modifiée, ni supprimée pendant une période définie — même par un administrateur dont le compte serait compromis. Les solutions de sauvegarde modernes offrent cette fonctionnalité. L'alternative est une copie physiquement déconnectée du réseau (air gap), comme une bande LTO rangée dans un coffre.
Le 0 : zéro erreur vérifiée. Chaque sauvegarde doit être automatiquement validée pour confirmer son intégrité. Une sauvegarde qui contient des erreurs est une sauvegarde inutile — et vous ne le découvrirez qu'au pire moment, quand vous en aurez besoin.
Ce que les PME oublient de sauvegarder
Même avec une bonne stratégie en place, certaines catégories de données passent souvent entre les mailles du filet.
Les données de Microsoft 365
C'est probablement l'angle mort le plus répandu. Beaucoup de dirigeants présument que Microsoft sauvegarde leurs courriels, fichiers OneDrive et données SharePoint. Microsoft assure la disponibilité de sa plateforme, mais la protection de vos données reste votre responsabilité. Le contrat de service de Microsoft 365 le précise explicitement.
Si un employé supprime par erreur un dossier partagé, si un compte compromis est utilisé pour effacer des courriels, ou si un rançongiciel chiffre des fichiers synchronisés via OneDrive, les options de récupération natives de Microsoft sont limitées dans le temps et dans leur portée.
Une solution de sauvegarde tierce pour Microsoft 365 coûte quelques dollars par utilisateur par mois et peut sauver des milliers de dollars de données.
Les configurations d'équipement
Votre pare-feu, vos commutateurs réseau, vos imprimantes réseau — tous ces appareils ont des configurations qui ont pris des heures à peaufiner. Si un appareil tombe en panne et doit être remplacé, recréer la configuration de mémoire est un exercice frustrant et sujet à erreur. Exporter et sauvegarder ces configurations est rapide et évite bien des maux de tête.
Les données des applications spécialisées
Logiciel de comptabilité, système de gestion de projet, CRM, logiciel de paie — ces applications stockent souvent leurs données dans des bases de données distinctes qui nécessitent une procédure de sauvegarde spécifique. Une copie de fichiers standard peut ne pas capturer une base de données en cours d'utilisation de façon fiable.
Les erreurs classiques à éviter
Sauvegarder sans jamais restaurer. La sauvegarde n'a de valeur que si elle peut être restaurée. Planifiez un test de restauration au minimum une fois par trimestre. Restaurez un fichier, un dossier, puis éventuellement un serveur complet. Documentez les résultats et le temps nécessaire.
Compter sur le RAID comme sauvegarde. Un système RAID protège contre la panne d'un disque individuel. Il ne protège pas contre un rançongiciel, une suppression accidentelle, un incendie ou une corruption de données. Le RAID est une mesure de disponibilité, pas de sauvegarde.
Confier la sauvegarde à un processus manuel. « Martin lance la sauvegarde chaque vendredi avant de partir. » Martin est en vacances ? Martin oublie ? Martin quitte l'entreprise ? Toute sauvegarde qui dépend d'une action humaine régulière finira par échouer.
Négliger le chiffrement. Vos sauvegardes contiennent l'intégralité de vos données sensibles. Un disque de sauvegarde non chiffré perdu ou volé est une fuite de données au sens de la Loi 25 — avec les obligations de déclaration et les amendes que cela implique.
Ignorer les alertes d'échec. Les sauvegardes échouent parfois : disque plein, connexion interrompue, fichier verrouillé. Si personne ne lit les alertes, personne ne corrige le problème. Des semaines peuvent passer avant qu'on ne s'en rende compte.
Mise en place pratique pour une PME de 15 à 50 employés
Voici à quoi ressemble une architecture de sauvegarde raisonnable pour une PME québécoise typique.
Copie 1 — Production. Vos serveurs et services actifs, idéalement avec des disques en RAID pour la tolérance aux pannes matérielles.
Copie 2 — Sauvegarde locale sur NAS. Un appareil de stockage réseau dédié, dans vos locaux, qui reçoit automatiquement une copie de vos données selon un calendrier défini (horaire, quotidien ou les deux selon la criticité). Cette copie permet une restauration rapide en cas de besoin courant.
Copie 3 — Sauvegarde infonuagique hors site. Vos données sont répliquées automatiquement vers un centre de données au Canada. Cette copie est chiffrée, vérifiée et idéalement immuable pour une période définie.
Surveillance et alertes. Chaque exécution de sauvegarde génère un rapport. Les échecs déclenchent une alerte immédiate. Quelqu'un — que ce soit un employé interne ou un fournisseur externe — est responsable de vérifier ces alertes quotidiennement.
Tests de restauration trimestriels. Un calendrier formel de tests, avec documentation des résultats, des temps de restauration et des ajustements nécessaires.
Définir vos objectifs de reprise
Deux paramètres guident le choix de votre stratégie.
Le RPO (objectif de point de reprise). Combien de données pouvez-vous vous permettre de perdre ? Si votre dernière sauvegarde date de 24 heures, vous pourriez perdre une journée complète de travail. Pour certaines entreprises, c'est acceptable. Pour d'autres, une perte de plus d'une heure est intolérable. Le RPO dicte la fréquence de vos sauvegardes.
Le RTO (objectif de temps de reprise). Combien de temps pouvez-vous fonctionner sans accès à vos données ? Si votre RTO est de quatre heures, votre copie locale suffira probablement. Si votre RTO est de 30 minutes, vous aurez peut-être besoin d'une solution de reprise instantanée avec virtualisation sur place.
Ces deux paramètres ne sont pas les mêmes pour toutes vos données. Votre base de données comptable a probablement un RPO et un RTO plus stricts que vos archives de photos marketing.
Le coût de la sauvegarde contre le coût de la perte
Pour une PME de 25 employés, une solution de sauvegarde complète coûte généralement entre 300 $ et 800 $ par mois, selon le volume de données et le niveau de service. C'est un montant modeste, équivalent à une ou deux heures de productivité perdue lors d'une seule panne.
En contrepartie, reconstituer des données perdues — quand c'est possible — coûte infiniment plus cher. Refaire une comptabilité à partir de relevés bancaires, recréer des documents de projet, retrouver la correspondance client, reconfigurer des systèmes de zéro : les heures s'accumulent rapidement.
Et dans certains cas, les données sont tout simplement irrécupérables. Aucun montant ne peut recréer dix ans d'archives de courriels ou une base de données clients construite sur des années.
Passez de l'espoir à la certitude
La différence entre une PME qui espère que ses sauvegardes fonctionnent et une PME qui le sait, c'est un processus rigoureux de configuration, de surveillance et de tests.
Chez Adsum Technologies, nous accompagnons les PME québécoises dans la mise en place de stratégies de sauvegarde adaptées à leur réalité — volume de données, budget, exigences réglementaires. Si votre dernière vérification de sauvegarde remonte à plus d'un mois, ou si vous n'êtes pas certain que vos données Microsoft 365 sont protégées, c'est le bon moment pour en discuter. Visitez adsumtech.ca pour nous joindre.



