Tutoriel express pour configurer une sauvegarde air-gapped sécurisée en entreprise

Une sauvegarde air-gapped (ou « déconnectée ») consiste à conserver une copie de vos données sur un support isolé du réseau et d’Internet, de façon à ce qu’elle ne soit pas accessible depuis un poste infecté, un serveur compromis ou des identifiants détournés. C’est l’un des moyens les plus efficaces pour limiter l’impact d’un ransomware, d’une suppression malveillante, d’une erreur humaine ou d’un incident majeur. L’objectif de ce guide est de proposer une procédure de sauvegarde hors ligne réaliste pour une petite à moyenne entreprise, avec chiffrement, rotation, vérification et stockage sécurisé, en gardant à l’esprit un point essentiel : une sauvegarde n’existe que si elle est restaurable.

1) Objectif et périmètre : ce que protège vraiment une sauvegarde air-gapped

Avant de brancher un disque, clarifiez ce que vous cherchez à protéger et jusqu’où. Une sauvegarde air-gapped vise avant tout à garantir une copie saine et inaccessible à distance en cas de compromission du système d’information. Elle réduit drastiquement les risques liés au chiffrement des partages, à la suppression de données via des comptes à privilèges, ou à la corruption logique provoquée par un logiciel malveillant.

Elle couvre très bien les scénarios de ransomware et de sabotage, et elle contribue aussi à limiter les conséquences d’un vol ou d’une perte du support si le chiffrement et la gestion des clés sont maîtrisés. En revanche, elle ne compense pas une organisation défaillante : une procédure non tenue, des données déjà corrompues au moment de la copie, un inventaire incomplet, une clé perdue, ou l’absence de test de restauration rendent l’air-gap inutile. Il faut également intégrer un risque souvent sous-estimé : si la machine qui exécute la sauvegarde est compromise au moment où le disque est connecté, la sauvegarde peut être altérée. La protection repose donc autant sur la déconnexion que sur la qualité opérationnelle de la chaîne.

Bon réflexe : appliquez la règle du 3-2-1 (trois copies, sur deux types de supports, avec une copie hors site et/ou hors ligne). L’air-gap est un excellent pilier de cette stratégie, mais il ne remplace ni la gouvernance de la restauration ni l’hygiène de l’environnement qui produit la sauvegarde.

2) Choisir le bon support (HDD, SSD, clé USB) : rapide comparatif

Le support air-gapped doit être simple à manipuler, suffisamment capacitif, durable et remplaçable. Le HDD externe reste souvent le meilleur choix pour les gros volumes grâce à son excellent rapport capacité/prix, au prix d’une sensibilité plus forte aux chocs. Le SSD externe est plus rapide et plus robuste mécaniquement, particulièrement utile lorsque la fenêtre de sauvegarde est courte, mais il est plus coûteux à capacité équivalente. La clé USB peut convenir à des volumes limités (documents critiques, exports ciblés), mais son endurance et sa fiabilité varient fortement selon les modèles, et le risque de perte est plus élevé.

En pratique, une configuration robuste pour une PME repose généralement sur deux disques externes en rotation, et, si l’enjeu le justifie, un troisième support conservé hors site. Prévoyez un renouvellement périodique des supports et évitez les modèles bas de gamme : une sauvegarde hors ligne vaut autant que la fiabilité du matériel qui la porte.

3) Préparer la rotation : le « principe des deux disques »

Le piège classique consiste à laisser le disque branché en permanence, ce qui annule l’air-gap. La protection repose sur une discipline de déconnexion et une rotation simple.

La méthode la plus pragmatique consiste à préparer deux supports identiques, Disque A et Disque B, configurés de la même manière (même chiffrement, mêmes règles de copie). À chaque cycle, vous connectez un seul disque, vous effectuez la sauvegarde, vous vérifiez le résultat, puis vous éjectez proprement et vous débranchez immédiatement le support pour le ranger. L’autre disque reste hors ligne, idéalement dans un autre lieu, ou au minimum dans une armoire fermée. Au cycle suivant, vous inversez. Cette alternance réduit fortement la probabilité de perdre toutes les copies si un incident survient au mauvais moment, notamment pendant la fenêtre où un support est connecté.

4) Chiffrer le support : VeraCrypt (Windows/macOS/Linux) ou LUKS (Linux)

Une sauvegarde hors ligne doit être chiffrée, car le risque dominant devient la perte ou le vol du support. En environnement hétérogène, VeraCrypt est une option pratique : vous pouvez chiffrer un disque entier ou utiliser un conteneur. Côté Linux, LUKS est le standard robuste pour chiffrer une partition ou un disque complet.

La solidité du chiffrement dépend surtout de votre gestion des secrets. Privilégiez une phrase de passe longue plutôt qu’un mot de passe court « complexe », mettez en place une conservation contrôlée (coffre, enveloppe scellée, procédure d’accès et de secours), et évitez absolument de stocker la clé en clair sur le poste qui effectue la sauvegarde. Documentez aussi l’outil utilisé, sa version et les étapes de déverrouillage : en situation de crise ou lors d’un changement d’équipe, ce détail fait souvent la différence entre une restauration rapide et une indisponibilité prolongée.

À retenir : le chiffrement améliore la sécurité, mais il ajoute un prérequis incontournable. Sans la clé, pas de restauration. La sécurité doit donc couvrir à la fois la confidentialité et la disponibilité du secret pour les personnes autorisées.

5) Copier les données : méthode express (avec vérification)

La copie doit être reproductible, cohérente et vérifiable. Même sans solution « enterprise », on peut obtenir un résultat professionnel si l’on standardise ce qui est sauvegardé, comment cela l’est, et comment on prouve que la copie est exploitable.

Option A : sauvegarde de dossiers (simple)

Identifiez clairement les répertoires critiques : dossiers partagés, documents métier, exports d’ERP/CRM, finance/RH, configurations, scripts, certificats, clés ou licences, documentation d’exploitation. Réduisez le volume en excluant ce qui est régénérable ou retéléchargeable (caches, temporaires, images ISO non critiques), afin de raccourcir la fenêtre de sauvegarde et de limiter les erreurs de manipulation.

Après la copie, réalisez une vérification systématique. Une comparaison de taille totale et de nombre de fichiers est un minimum, mais l’idéal est d’ajouter un contrôle d’intégrité par hachage (par exemple SHA-256) sur un manifeste ou sur un échantillon représentatif. Le but n’est pas de complexifier, mais d’éviter le faux sentiment de sécurité d’un simple « copier-coller » silencieusement incomplet.

Option B : image / export applicatif (plus fiable pour certains systèmes)

Pour les bases de données et certaines applications, la copie de fichiers à chaud est souvent insuffisante. Privilégiez des exports cohérents (dump SQL, export applicatif) en suivant les recommandations de l’éditeur, avec verrouillage ou arrêt contrôlé si nécessaire. Pour les VM et serveurs, un export ou une sauvegarde via l’hyperviseur peut être pertinent, mais gardez en tête qu’un snapshot n’est pas toujours une sauvegarde complète : vérifiez explicitement la chaîne de restauration et l’indépendance des fichiers nécessaires au redémarrage.

Point clé : l’air-gap ne remplace pas la cohérence applicative. Définissez un RPO (perte de données acceptable) et un RTO (délai de reprise acceptable) réalistes, puis adaptez la fréquence des sauvegardes et la méthode de capture en conséquence.

6) Stockage physique : règles simples (mais non négociables)

Une sauvegarde air-gapped est un objet physique : traitez-la comme un actif sensible. Le rangement doit se faire dans une armoire fermée à clé avec accès restreint, et, selon le niveau de risque, avec une protection adaptée contre l’incendie. Idéalement, au moins une rotation doit être stockée hors site (site secondaire, coffre, prestataire), afin de couvrir les scénarios de vol, d’incendie ou d’inondation sur votre site principal.

Assurez une traçabilité simple mais stricte : étiquetage clair (A/B), date, périmètre, responsable, état de la sauvegarde et localisation. Protégez aussi le support des risques « bêtes » qui détruisent des sauvegardes parfaitement conçues sur le papier : chocs, chaleur, humidité, stockage prolongé dans un véhicule, manipulations inutiles.

7) Checklist sécurité (à imprimer)

Avant de considérer la sauvegarde comme « faite », vérifiez que le support est chiffré et que la clé est gérée par une procédure de conservation et d’accès, que le disque est réellement déconnecté juste après la copie, et que la rotation A/B est respectée avec un plan de remplacement des supports. Assurez-vous qu’au moins une copie est stockée dans un lieu sécurisé, si possible hors site, et qu’un test de restauration est planifié et consigné. Confirmez enfin que les données vraiment critiques sont incluses sous une forme cohérente (exports applicatifs lorsque nécessaire) et qu’un journal minimal existe, indiquant date, support utilisé, volume, anomalies éventuelles, résultat de la vérification et responsable.

8) Bonnes pratiques pour durer (et éviter l’« air-gap de papier »)

Une sauvegarde hors ligne échoue rarement par manque de technologie ; elle échoue par manque de constance. Pour tenir dans le temps, ritualisez un créneau fixe, assignez une responsabilité nominative, et gardez une procédure courte et exécutable sans improvisation. Testez régulièrement la restauration, d’abord sur un fichier, puis sur un dossier, puis sur un export applicatif, car sans test vous n’avez qu’une copie, pas une capacité de reprise.

Réduisez aussi l’exposition pendant la fenêtre de connexion : la machine qui effectue la sauvegarde doit être durcie et, autant que possible, dédiée, avec des privilèges minimaux et sans usages à risque. Enfin, conservez plusieurs points de restauration via la rotation et une politique de rétention adaptée, afin de pouvoir revenir avant une corruption silencieuse ou un chiffrement progressif. Pour compléter votre démarche de résilience face aux ransomwares, une ressource de référence est le portail officiel de la CISA : StopRansomware (CISA).

Conclusion : une sauvegarde air-gapped utile repose sur quatre exigences concrètes : un support fiable, un chiffrement dont la clé est réellement maîtrisée, une rotation qui garantit la déconnexion, et une vérification suivie de tests de restauration. La différence entre une protection efficace et une sécurité illusoire tient ensuite à la discipline : tenir la routine, conserver plusieurs points de reprise, et prouver régulièrement que vous savez restaurer quand tout le reste a échoué.