Sauvegarde immuable : comment ça marche vraiment

· 4 min de lecture · SOVALYX Technologies

PARTAGER

Une sauvegarde immuable est une copie que personne — pas même un administrateur — ne peut modifier ni supprimer avant la fin d'une période de rétention fixée au moment de l'écriture. Face à des ransomwares qui s'attaquent d'abord aux sauvegardes avant de chiffrer la production, elle fait souvent la différence entre restaurer et payer.

Une copie que personne ne peut réécrire

Le principe porte un nom ancien : WORM, pour Write Once, Read Many — on écrit une fois, on lit autant qu'on veut, on ne réécrit jamais. Longtemps réservé aux bandes et aux disques optiques, il est aujourd'hui porté par le stockage objet et son verrouillage d'objet (object lock) : au moment où la sauvegarde est écrite, une date d'expiration de rétention lui est attachée. Jusqu'à cette date, toute demande de suppression ou de modification est refusée par la couche de stockage elle-même.

La nuance est essentielle : l'interdiction ne vient pas d'une règle du logiciel de sauvegarde, qu'un attaquant disposant des bons identifiants pourrait désactiver, mais du stockage sous-jacent. Si votre outil de sauvegarde, une fois compromis, peut demander la suppression et l'obtenir, votre copie n'est pas immuable — elle est seulement protégée par une politique.

Deux modes de verrouillage qui ne se valent pas

Les plateformes proposent généralement deux modes. En mode « gouvernance », certains comptes à privilèges peuvent lever le verrou : utile contre les erreurs de manipulation, insuffisant contre un attaquant qui a précisément volé ces privilèges. En mode « conformité », personne — ni client, ni opérateur — ne peut supprimer l'objet avant l'échéance. Pour la copie destinée à survivre à un ransomware, c'est ce second mode qui fait référence ; le premier reste acceptable pour des copies intermédiaires.

Air gap : couper le chemin entre production et sauvegarde

L'immuabilité empêche la réécriture ; l'air gap réduit l'exposition. L'air gap physique est le plus ancien : bandes magnétiques sorties du robot et stockées hors ligne, hors site. Aucune attaque réseau ne modifie une bande dans un coffre. L'air gap logique en est l'équivalent connecté : la cible de sauvegarde vit dans une zone réseau isolée, n'est joignable que pendant les fenêtres de sauvegarde, et surtout utilise une authentification totalement séparée de la production — pas le même annuaire, pas les mêmes comptes, pas les mêmes postes d'administration.

Ce dernier point est le plus souvent négligé : si le même compte d'administrateur de domaine peut atteindre l'hyperviseur, les serveurs et le dépôt de sauvegarde, l'air gap est une illusion. La compromission de l'annuaire central donne alors tout, d'un coup.

Rétention : la règle 3-2-1-1-0 en pratique

La règle classique 3-2-1 (trois copies, deux supports, une hors site) s'est enrichie : 3-2-1-1-0 ajoute une copie immuable ou hors ligne, et zéro erreur au test de restauration. C'est cette copie supplémentaire, verrouillée, qui répond au scénario ransomware.

La durée de rétention est un arbitrage. Trop courte, elle expose au scénario de l'attaque dormante : des intrus patients attendent que les dernières sauvegardes saines expirent avant de déclencher le chiffrement. Trop longue, elle gonfle les coûts de stockage. La réponse tient dans l'étagement : des points de restauration rapprochés conservés quelques semaines en immuable, des points hebdomadaires ou mensuels conservés plus longtemps, et une distinction claire entre rétention opérationnelle et archivage réglementaire, qui obéit à d'autres règles. Le dimensionnement dépend de vos systèmes : notre article sur la sauvegarde d'entreprise détaille ces choix.

Face au ransomware, ce que ça change vraiment

Les opérateurs de ransomware ne chiffrent plus la production en premier : ils cherchent d'abord l'infrastructure de sauvegarde, suppriment les instantanés, purgent les dépôts, détruisent les catalogues — puis seulement déclenchent le chiffrement, quand la victime n'a plus de filet. Une copie immuable et isolée retire cet atout : même en cas de compromission complète des comptes d'administration, la copie reste restaurable. C'est ce qui change la position de négociation : on ne paie pas pour récupérer ce qu'on peut restaurer soi-même. Notre analyse ransomware et sauvegardes approfondit ces tactiques.

Encore faut-il que la restauration fonctionne, et vite. Le catalogue de sauvegarde doit être lui-même protégé, les restaurations testées régulièrement — fichier isolé, machine complète, site entier — et le temps de restauration mesuré face à vos objectifs de reprise, comme le décrit notre guide du plan de reprise d'activité. Une copie saine qu'on met trois semaines à restaurer ne sauve pas l'activité.

Checklist : votre sauvegarde est-elle vraiment immuable ?

  1. L'immuabilité est-elle appliquée par la couche de stockage (verrouillage d'objet), et non par le seul logiciel de sauvegarde ?
  2. Le mode de verrouillage est-il « conformité » pour la copie de dernier recours — et qui peut lever le verrou ?
  3. Les identifiants de l'infrastructure de sauvegarde sont-ils séparés de l'annuaire de production ?
  4. Existe-t-il une copie hors site et une copie hors ligne ou logiquement isolée ?
  5. La durée de rétention couvre-t-elle un scénario d'intrusion dormante de plusieurs semaines ?
  6. La règle 3-2-1-1-0 est-elle respectée pour les systèmes critiques ?
  7. Le catalogue de sauvegarde est-il sauvegardé et protégé au même niveau ?
  8. Une restauration complète a-t-elle été testée récemment, chronométrée et documentée — sinon, planifiez ce test ?

Comment SOVALYX peut vous aider

SOVALYX déploie des sauvegardes immuables — verrouillage objet, air gap logique, identifiants séparés — sur son cloud privé à Maurice, avec des tests de restauration planifiés et documentés. La durée de rétention est dimensionnée avec vous selon vos contraintes métier et réglementaires.

Parler sécurité avec un ingénieur

🧰 L'outil qui va avec : Votre sauvegarde survivrait-elle à un ransomware ? — gratuit · 2 minutes.

Relu et optimisé par IA.