KA IT
+32 489 59 42 27
La sauvegarde est probablement l'investissement IT le plus rentable que puisse faire une PME. Un backup correctement fait coute entre 30 et 150 euros par mois, et divise par dix le cout moyen d'un incident ransomware. Pourtant, trois PME belges sur dix decouvrent le jour J que leur backup ne fonctionne pas. Ce guide decrit la regle 3-2-1 telle qu'elle doit etre implementee concretement en 2026.
1. Le principe 3-2-1 en 1 minute
La regle 3-2-1 a ete formalisee il y a plus de 15 ans par le photographe Peter Krogh pour proteger ses archives. Elle est devenue le standard de facto de l'industrie IT parce qu'elle est simple a memoriser et qu'elle couvre l'essentiel des scenarios de perte de donnees.
- 3 copies des donnees : 1 copie de production + 2 sauvegardes.
- 2 supports differents : disque local + disque externe, ou disque + cloud, ou disque + bande.
- 1 copie hors site : geographiquement separee du lieu principal d'exploitation.
L'idee sous-jacente : si un seul evenement (panne disque, incendie, inondation, ransomware) detruit vos donnees, il ne doit pas pouvoir detruire vos sauvegardes en meme temps.
Serveur fichiers local (copie 1) + NAS dans la meme piece (copie 2, support different) + backup chiffre dans un cloud UE (copie 3, hors site). Ce schema coute environ 80-120 euros par mois et resiste a 99 % des scenarios realistes.
2. Pourquoi c'est encore d'actualite en 2026
On entend regulierement que "3-2-1 est depasse". C'est faux. Ce qui a change, c'est que les menaces modernes (ransomware, insider threat) ajoutent des exigences supplementaires (immuabilite, air-gap), mais le socle 3-2-1 reste le minimum vital. Trois raisons qui le confirment :
Le ransomware attaque aussi les sauvegardes
Les attaquants modernes ciblent explicitement les NAS et les serveurs de backup avant de chiffrer la production. Sans la copie hors site (le "1" de 3-2-1), vous perdez tout. Le Centre pour la Cybersecurite Belgique le rappelle regulierement dans ses notes techniques.
Les pannes materielles restent la cause numero 1
Disque SSD qui tombe, controleur RAID qui lache, degat des eaux : ces incidents banals representent encore la majorite des pertes de donnees PME. La regle 3-2-1 les couvre nativement.
Les exigences RGPD et NIS2
Avoir une strategie de backup documentee n'est plus une bonne pratique, c'est une obligation legale pour les entites concernees par NIS2. Lire NIS2 : comment savoir si ma PME belge est concernee ?.
3. Implementation concrete pour PME 5-25 postes
Voici trois architectures qui fonctionnent en pratique, classees par taille.
Profil 1 : PME 5-10 postes, pas de serveur local
- Copie 1 (production) : Microsoft 365 ou Google Workspace.
- Copie 2 (tiers) : backup tiers spécialisé Microsoft 365 / Google Workspace (Veeam, Acronis, AvePoint, etc.), hebergement UE.
- Copie 3 (hors site) : export mensuel archive dans un second cloud ou sur un NAS local.
Beaucoup de dirigeants pensent que Microsoft ou Google font des sauvegardes. C'est partiellement vrai (retention courte, pas de granularite), mais ca ne remplace pas un backup tiers dedie. Microsoft le precise explicitement dans son modele de responsabilite partagee.
Profil 2 : PME 10-25 postes avec serveur de fichiers
- Copie 1 : serveur de fichiers interne (Windows Server, NAS haute disponibilite).
- Copie 2 : NAS de backup dedie, dans une piece differente, avec versionning.
- Copie 3 : replication chiffree quotidienne vers cloud UE (ou NAS d'un partenaire dans un autre batiment).
Profil 3 : ASBL, commerce avec caisse et logiciel metier critique
Meme logique, mais avec une exigence supplementaire : sauvegarder aussi la configuration et la base de donnees du logiciel metier (compta, caisse, ERP). Un backup qui ne prend que les fichiers utilisateurs sans la base metier vous oblige a tout reconfigurer apres restauration.
On verifie votre configuration, on teste une restauration reelle, on vous dit ce qui manque. Audit backup PME sans engagement.
4. Combien ca coute ?
Voici des ordres de grandeur observes en 2026 pour une PME type. Ces chiffres excluent la main-d'oeuvre de mise en place et supposent des outils du marche mainstream.
| Taille PME | Solution type | Cout mensuel |
|---|---|---|
| 5-10 postes cloud only | Backup Microsoft 365 tiers + cloud archive | 30-60 € / mois |
| 10-25 postes + serveur | NAS backup 20 To + replication cloud 500 Go | 80-150 € / mois (amorti sur 5 ans) |
| 25-50 postes + 2 serveurs | Appliance backup + cloud 2 To + 1 test trimestriel | 200-400 € / mois |
A comparer au cout moyen d'un ransomware PME en Belgique : 30 000 a 150 000 euros tout compris (rancon eventuelle, perte d'activite, reconstruction, communication clients). Le retour sur investissement du backup est immediat.
5. L'evolution 3-2-1-1-0 (immuabilite)
La version moderne du 3-2-1 ajoute deux chiffres :
- 1 copie immuable : une sauvegarde qu'on ne peut ni modifier ni supprimer pendant une duree definie (jours, semaines, mois). Meme un admin compromis ne peut pas l'effacer. Les protocoles utilises : S3 Object Lock, WORM, immutable snapshots.
- 0 erreur : apres chaque restauration de test, aucune erreur detectee dans les fichiers restitues.
L'immuabilite est devenue quasiment indispensable contre le ransomware moderne. Elle est aujourd'hui proposee par la majorite des editeurs cloud (Azure Immutable Blob, AWS S3 Object Lock, Wasabi Compliance, etc.).
6. Tester la restauration : la seule vraie validation
C'est le point qui change tout. Un backup non teste n'est pas un backup. On voit regulierement des PME avec 3 ans d'historique de sauvegardes qui echouent a restaurer quoi que ce soit le jour ou elles en ont besoin.
Les 4 tests a faire systematiquement
- Restauration d'un fichier (mensuelle, 15 minutes) : on prend un document au hasard, on le restaure, on verifie qu'il s'ouvre.
- Restauration complete d'une boite mail (trimestrielle) : on restaure une mailbox utilisateur dans un environnement de test.
- Restauration d'une VM / serveur complet (semestrielle) : on deploie la sauvegarde sur un materiel de test, on boot, on verifie que tout demarre.
- Exercice de crise complet (annuel) : simulation ransomware, tout le monde execute le plan, on chronometrera.
Sur les PME que nous auditons pour la premiere fois, environ un tiers des backups presentent au moins une anomalie qui empecherait une restauration complete. Dans la moitie des cas, personne ne l'avait detecte parce que personne n'avait teste.
7. Checklist d'implementation
Pour finir, la checklist complete a verifier sur votre backup actuel ou a construire si vous partez de zero :
- 3 copies minimum des donnees (production + 2 sauvegardes).
- 2 supports differents (pas 2 disques du meme serveur).
- 1 copie hors site (cloud UE ou batiment different).
- Chiffrement en transit et au repos (AES-256 minimum).
- Au moins 1 copie immuable (retention 30 jours minimum).
- Retention definie par ecrit (30 jours, 90 jours, 1 an selon les donnees).
- Test de restauration trimestriel documente.
- Monitoring des jobs de backup (alerte en cas d'echec).
- Procedure de restauration accessible en cas d'incident (pas uniquement sur le serveur tombe).
Si vous cochez 7 lignes sur 9, votre backup est correct. En dessous, il y a un vrai travail d'optimisation a faire.
Nos packs Business et Managed incluent la solution de backup, le monitoring quotidien et les tests de restauration trimestriels documentes.