Tutoriel express : créer une sauvegarde hors ligne sécurisée en moins d’une heure

Une sauvegarde hors ligne, souvent appelée air-gapped, consiste à conserver une copie de vos fichiers importants sur un support qui n’est plus connecté une fois la sauvegarde terminée. L’objectif est simple : si un ransomware chiffre votre ordinateur, si un compte cloud est compromis, ou si une panne ou un sinistre survient, vous disposez d’une copie saine, intacte et récupérable. Dans ce tutoriel express, vous allez mettre en place une sauvegarde hors ligne réellement utile en moins d’une heure avec du matériel simple, en gardant à l’esprit que le premier chiffrement peut prendre plus longtemps selon la capacité et la vitesse du support.

Ce que vous allez faire (plan en 60 minutes)

• 0–10 min : choisir le support et préparer un espace de travail propre
• 10–30 min : chiffrer le support (ou créer un conteneur chiffré)
• 30–50 min : copier vos fichiers critiques et faire une vérification rapide
• 50–60 min : étiqueter, ranger, et définir une routine simple de rotation

Étape 1 : choisir un support adapté (et éviter les pièges)

Pour une sauvegarde air-gapped, l’essentiel est d’avoir un support dédié, facile à déconnecter et suffisamment fiable. Les choix les plus courants sont le disque dur externe (HDD), intéressant pour de gros volumes au meilleur prix mais plus sensible aux chocs, le SSD externe, plus rapide et plus résistant mais plus cher à capacité égale, et la clé USB, pratique pour peu de données mais de fiabilité très variable selon les modèles et à éviter comme unique sauvegarde « vitale ».

Si vous hésitez, un HDD externe de marque entre 1 et 4 To est souvent un excellent point de départ. Le point crucial n’est pas la performance mais la discipline : évitez le disque « fourre-tout » qui reste branché en permanence, car un ransomware peut aussi chiffrer les disques externes connectés.

Vous pouvez garder en tête la règle du « 3-2-1 » : trois copies, sur deux types de supports, dont une copie hors site. Si vous débutez, commencez par obtenir au moins une copie hors ligne propre et testée, puis améliorez progressivement votre stratégie. Pour approfondir les bases du choix de solution, vous pouvez lire : Comment choisir une solution de sauvegarde de fichier en ligne.

Étape 2 : préparer une liste « fichiers critiques » (le gain de temps n°1)

Pour tenir en moins d’une heure, ne cherchez pas à sauvegarder « tout le disque » au hasard. Concentrez-vous sur ce qui est difficile ou impossible à recréer : documents administratifs (PDF, scans, impôts, contrats), photos et vidéos personnelles, projets professionnels (documents, code, créations), ainsi que certaines données de sécurité et de configuration (par exemple des fichiers de récupération, des exports, des clés de licence ou des paramètres indispensables).

Un point d’attention important concerne les mots de passe et la double authentification. Si vous exportez un gestionnaire de mots de passe, vérifiez le format d’export : il est parfois en clair, ce qui transforme votre sauvegarde en risque majeur si elle est copiée. Dans l’idéal, privilégiez une sauvegarde chiffrée du coffre-fort lui-même, ou un export explicitement chiffré. Conservez aussi, séparément et de façon sûre, les éléments de récupération (codes de secours 2FA, clés de récupération) afin de pouvoir revenir à la normale même en cas de perte d’accès à vos comptes.

Pour gagner du temps à chaque session, regroupez vos éléments dans un dossier unique, par exemple SAUVEGARDE_CRITIQUE, ou créez une arborescence stable que vous recopierez toujours de la même manière. Vous réduirez les oublis et accélérerez la routine.

Étape 3 : chiffrer la sauvegarde (indispensable si le support peut être perdu ou volé)

Une sauvegarde hors ligne protège très bien contre les attaques à distance, mais elle n’empêche pas un scénario banal : la perte ou le vol du support. Le chiffrement résout ce problème à condition d’utiliser une phrase de passe solide, et surtout de vous assurer que vous pourrez la récupérer. Le meilleur chiffrement du monde ne sert à rien si la restauration est impossible.

Retenez une règle clé : conservez un moyen de récupération séparément du disque, et testez votre capacité à déverrouiller et restaurer un fichier avant de dépendre de cette sauvegarde. Une bonne pratique consiste à conserver la clé de récupération ou les informations essentielles dans un endroit différent (coffre, gestionnaire de mots de passe, copie papier protégée), mais jamais sur le même support que la sauvegarde.

Option A (simple sur Windows) : BitLocker

BitLocker est disponible sur Windows Pro et Entreprise, et l’équivalent « Device Encryption » existe sur certains PC sous Windows Familial. Si BitLocker n’est pas proposé, passez à une solution multi-plateforme comme VeraCrypt. Branchez le disque externe, faites un clic droit sur le lecteur puis choisissez l’activation de BitLocker. Définissez une phrase de passe longue et sauvegardez la clé de récupération dans un emplacement sûr, idéalement avec une copie de secours. Lancez ensuite le chiffrement ; selon la taille du disque, la première passe peut dépasser largement vingt minutes.

Si le disque n’est pas neuf, chiffrer « tout le lecteur » est généralement plus prudent. Sur un disque neuf, le chiffrement de l’espace utilisé uniquement peut être plus rapide, mais l’important reste de finaliser le chiffrement et de vérifier que le déverrouillage fonctionne correctement.

Option B (Windows Familial, macOS, Linux) : chiffrement système ou conteneur chiffré

Selon votre système, vous pouvez chiffrer un disque ou un volume avec les outils natifs (FileVault côté macOS via des volumes chiffrés, ou LUKS sous Linux), ou créer un « coffre-fort » portable sous forme de conteneur VeraCrypt. Le conteneur est un fichier qui se monte comme un disque lorsque vous saisissez la phrase de passe, ce qui est pratique si vous alternez entre plusieurs systèmes.

Dans une logique « tutoriel express », un conteneur VeraCrypt est souvent le plus simple à standardiser. Créez le conteneur sur le disque externe avec une taille adaptée et un peu de marge pour les prochaines sauvegardes, montez-le uniquement le temps de la copie, puis démontez-le aussitôt après. Notez votre phrase de passe dans un gestionnaire de mots de passe et conservez une copie de secours, car perdre ce secret revient à perdre la sauvegarde. Là encore, ne stockez jamais cette phrase de passe sur le disque de sauvegarde lui-même.

Étape 4 : copier les fichiers (et éviter la fausse sauvegarde)

Une sauvegarde utile doit être copiée proprement et vérifiée. Sur le support (ou dans le conteneur chiffré), créez un dossier racine explicite, par exemple BACKUP_OFFLINE, puis une sous-structure par date du jour au format 2026-03-18. Copiez ensuite votre dossier SAUVEGARDE_CRITIQUE (ou vos dossiers sélectionnés) à cet emplacement, en veillant à laisser la copie se terminer entièrement.

Pour une vérification rapide en quelques minutes, ouvrez deux ou trois fichiers au hasard directement depuis le support (un PDF, une photo, un document) et comparez la taille globale du dossier source et du dossier copié. Cette comparaison reste approximative, mais elle permet d’éviter de nombreuses erreurs classiques (copie interrompue, mauvais dossier, disque plein, etc.).

La vérification la plus parlante consiste à faire au moins une fois un test de restauration : recopiez un fichier depuis la sauvegarde vers votre ordinateur et assurez-vous qu’il s’ouvre correctement. Une sauvegarde non testée est une sauvegarde incertaine. Si vous êtes à l’aise, vous pouvez ensuite automatiser avec des outils comme robocopy ou rsync, et renforcer la confiance via des contrôles d’intégrité (hash), mais même une vérification simple vous place déjà au-dessus de la majorité des pratiques.

Étape 5 : déconnecter proprement (le « vrai » air-gap)

Une sauvegarde n’est réellement air-gapped que si le support n’est pas accessible en permanence. Une fois la copie terminée, fermez les fichiers, démontez le conteneur chiffré si vous en utilisez un, puis éjectez le disque correctement afin de réduire le risque de corruption. Débranchez ensuite le support. Cette déconnexion est précisément ce qui vous protège contre beaucoup de malwares, y compris ceux qui chiffrent les disques externes laissés connectés.

Étape 6 : stockage physique et rotation (la sécurité ne s’arrête pas au chiffrement)

Une sauvegarde hors ligne reste un objet physique : elle peut être exposée au feu, à l’eau, au vol, aux chocs ou à l’oubli. Étiquetez clairement le support, par exemple « Backup Offline A », et notez la date de dernière sauvegarde. Stockez-le dans un endroit sec, tempéré et stable, à l’abri des chocs.

Pour renforcer nettement la résilience, l’idéal est d’utiliser deux supports en rotation. Pendant que le support A est rangé, la prochaine session se fait sur B, puis vous alternez. Si c’est réaliste pour vous, conservez en plus une copie hors de votre domicile (famille, bureau, coffre), car une sauvegarde unique stockée au même endroit que l’ordinateur reste vulnérable à un sinistre local.

Sur le long terme, prévoyez un contrôle périodique, par exemple tous les trois à six mois : rebranchez, déverrouillez, ouvrez quelques fichiers, et surveillez l’état du support. Un disque peut tomber en panne même s’il a peu servi, et c’est souvent au moment critique qu’on découvre un support défaillant.

Mini check-list « anti-ransomware » (à relire avant de ranger le disque)

• Le disque ou le conteneur est-il chiffré, avec une phrase de passe solide ?
• La clé de récupération ou la phrase de passe est-elle récupérable, sans être stockée sur le même disque ?
• La sauvegarde a-t-elle été validée en ouvrant des fichiers, et idéalement via un test de restauration ?
• Le support a-t-il été éjecté proprement, débranché et rangé ?
• Une routine est-elle planifiée (hebdomadaire ou mensuelle) via un rappel calendrier ?

Pour comprendre les recommandations officielles côté prévention et réaction face aux ransomwares, vous pouvez consulter une ressource d’autorité : StopRansomware (CISA). Pensez aussi à vérifier que les liens externes que vous suivez proviennent d’organismes reconnus.

Conclusion : votre meilleure protection, c’est la régularité

En moins d’une heure, vous pouvez mettre en place une première sauvegarde hors ligne chiffrée, vérifiée et réellement déconnectée. Ensuite, l’amélioration la plus importante est simple : répéter, idéalement en alternant deux supports, et tester ponctuellement la restauration. Une sauvegarde air-gapped n’est pas réservée aux experts : c’est une habitude accessible qui fait toute la différence en cas d’attaque, d’erreur humaine ou de sinistre.