Hors Linux

La sauvegarde : 3-2-1-1-0 et bonnes pratiques

Table des matières

backup-restore-logo




Introduction



Dans cet article, écrit le 31 mars 2025, je vais parler de quelques concepts de sauvegarde.

C'est plutôt un mémo de bonnes pratiques concernant la sauvegarde et la restauration, que j'ai décidé d'écrire en ce 31 mars, qui est le World backup day !


La sauvegarde basique pour le particulier



Qu'est ce qu'une sauvegarde ?

Une sauvegarde est une copie de tous ses fichiers importants (photos, vidéos, documents, emails, ...).
Au lieu de tout stocker à un seul endroit (sur le disque de votre ordinateur), on va garder une autre copie ailleurs, en sécurité.

Pourquoi sauvegarder ?

Perdre ses fichiers arrive beaucoup plus souvent qu'on ne le croit.
Perdre un fichier, c'est l'effacer par mégarde, remplacer son contenu et ne plus avoir le contenu d'origine, ou perdre le support sur lequel est le fichier (téléphone, appareil photo, dissque dur externe) ou que le support ne fonctionne plus (panne).

Bref, à cause d'un accident on pourra perdre des données importantes pour nous.

Comment sauvegarder ?

La plupart des gens sauvegardent leurs fichiers de l’une de ces deux façons :
- sur un disque dur externe
- quelque part en ligne sur Internet

C’est très facile, et c'est mieux que rien. Des logiciels le permettent facilement.

La sauvegarde en ligne :

Pour la sauvegarde en ligne, que ce soit sur un Nextcloud perso, un NAS perso, un Google Drive ou un iCloud, c'est déjà une bonne étape.
Ce type de sauvegarde permettra de se prémunir contre la panne ou le vol (si à ce moment, le périphérique est verouillé).

En cas de suppression accidentelle, le fichier synchronisé sera supprimé aussi dans la "sauvegarde" donc attention à ce point. Mais cette synchronisation à l'avantage d'être automatique et de ne pas trop s'en soucier.

Je ne rentre pas dans ce paragraphe simpliste sur la souveraineté des données, j'aborde juste le concept.

La sauvegarde sur le disque externe :

La sauvegarde sur disque externe permettra aussi de se prémunir contre la panne ou le vol (si à ce moment le disque externe n'est pas connecté au PC évidemment).

En cas de suppression accidentelle, on pourra récuprer le fichier sur le disque externe.. Cependant, il faudra faire attention, à faire la sauvegarde régulièrement. Il est préferable de laisser le disque déconnecté une fois la sauvegarde faite. Cela permettra d'isoler électriquement et informatiquement le disque.

Si possible, chiffrez le contenu du disque pour éviter, en cas de vol de celui-ci que n'importe qui accède aux données qu'il contient !


La sauvegarde en entreprise



Ici, je vais aborder plusieurs notions et bonnes pratiques de la sauvegarde en entreprise.

Je me base sur des écrits publiés par :
- L'ANSSI : https://cyber.gouv.fr/publications/fondamentaux-sauvegarde-systemes-dinformation
- VEEAM : https://bp.veeam.com/security/Design-and-implementation/Protect.html


La règle du 3-2-1-1-0



Fini le "vieux" concept de la règle 3-2-1, aujourd'hui, on va parler plutôt de la règle 3-2-1-1-0 !

- 3 = Conservez au moins trois copies de vos données : production, sauvegarde, copie de sauvegarde (en bonus l'archivage compte comme une copie)
- 2 = Utilisez au moins deux types de supports différents pour le stockage (de marqe différentes) : disques internes, SAN, NAS (en bonus l'archivage avec les bandes LTO compte comme un support)
- 1 = Conservez au moins une copie hors site : autre site (de production et de sauvegarde) que ce soit une infra de stockage ou dans un coffre-fort par exemple.
- 1 = Conservez au moins une copie hors ligne, isolée ou immuable : c'est surtout pour se prémunir d'une destruction volontaire (ransomware, acte malveillant via accès distant)
- 0 = Zéro erreur après tests de restauration : hé oui, une sauvegarde non restaurable n'est pas exploitable le jour où on en a besoin.

À propos de l'immuabilité :
- L'immuabilité protège uniquement de l'acte de malveillance : un ransomware ou un acte malveillant volontaire.
- L'immuabilité permet d'avoir moins de manutention qu'une copie hors ligne tells qu'une écriture sur une bande LTO avec le déplacement physique des cassettes par exemple.
- L'immuabilité permet d'avoir un RTO* plus faible car pas d'étape de restauration des sauvegardes.
*Récupération de Temps d'Objectif (Recovery Time Objective) : Temps maximal acceptable pour la restauration des données


Les types de sauvegarde



Rappels rapides sur les types de sauvegardes :
- Sauvegarde complète (Full) : Tous les fichiers sont sauvegardés à chaque fois. C'est long, ça prend de la place mais la restauration est rapide.
- Sauvegarde incrémentale : Seuls les fichiers qui ont été modifiés depuis la dernière sauvegarde (peu importe le type) sont copiés. Ça optimise l'espace, mais la restauration prend plus de temps.
- Sauvegarde différentielle : Copie des fichiers modifiés depuis la dernière sauvegarde complète.

- Snapshot : Capture instantanée d'un volume ou d'une machine à instant T. Rapide à créer et à restorer mais impacte les performances décriture et accès à la donnée. La restauration granulaire n'est pas possible.


Sécurisation de la sauvegarde



Le système de sauvegarde est un système d'information à part entière et il est extrèmement critique.
Il permet de repartir sur un système fonctionnel en cas d'indisponibilité du système d'information de production (qu'elle soit causée par un acte malveillant ou un sinistre).

Pour la sécurisation d'un système de sauvegarde, en plus de la règle 3-2-1-1-0, j'ajoute :
- L'infrastructure de sauvegarde DOIT ÊTRE ISOLÉE au maximum (physiquement et niveau réseau).
- L'infrastructure de sauvegarde doit être derrière un PARE-FEU indépendant et DÉDIÉ
- AUCUN FLUX ENTRANT
- ALERTE pour les FLUX initiés depuis l'extérieur de la zone de sauvegarde
- L'infrastructure de sauvegarde NE DOIT PAS être intégrée dans l'annuaire (Active Directory), ni dépendre de briques d'infra de production !
- Les comptes d'administration devront être NOMINATIFS (même nomenclature pour une cohérence)
- FAIRE LES MISES À JOUR des composants LOGICIELS, SYSTÈMES D'EXPLOITATION ET MATÉRIELS (UEFI, iDRAC/ILO, Firemwares)
- UN EDR pour protéger les systèmes
- SUPERVISION efficace (si possible via un SOC)


Tests de restauration



Pour valider la cohérence des sauvegardes : FAIRE DES TESTS DE RESTAURATION :
- Tester les restaurations des fichiers
- Tester les restaurations des serveurs
- Tester les restaurations des plateformes applicatives complètes (Application, Base de données)
- Tester les restaurations des plateformes d'infrastructures (Annuaire, DNS, DHCP, ...)
Cette page a été vue 2804 fois