Créer une sauvegarde hors ligne sécurisée (air-gapped) en moins d’une heure : tutoriel express

Une sauvegarde hors ligne (dite air-gapped) consiste à copier vos données sur un support physiquement déconnecté d’Internet et du réseau de l’entreprise. C’est une défense très efficace contre les ransomwares et les suppressions accidentelles, car un attaquant (ou un malware) ne peut pas chiffrer ce qu’il ne peut pas atteindre… à condition que le support ne reste pas branché, que la copie ne soit pas altérée avant d’être isolée, et que la restauration soit réellement possible. Bonne nouvelle : avec une méthode simple et un minimum de discipline, vous pouvez mettre en place une sauvegarde air-gapped en moins d’une heure pour un périmètre raisonnable, même sans être expert.

Objectif (et matériel) : ce que vous allez mettre en place

En 60 minutes, l’objectif est de disposer d’une sauvegarde utilisable et vérifiable : un support adapté, chiffré, contenant une copie claire de vos données critiques, accompagné d’un test de restauration et d’une règle de stockage simple. L’idée n’est pas de bâtir une usine à gaz, mais de créer un filet de sécurité robuste, capable de survivre à une compromission du poste ou du réseau.

Matériel recommandé (à choisir selon votre contexte) : un HDD externe est économique et adapté aux volumes importants, mais plus sensible aux chocs ; un SSD externe est plus rapide et généralement plus robuste en mobilité, au prix d’un coût plus élevé ; une clé USB peut dépanner pour un petit périmètre (documents essentiels), mais sa qualité est très variable et elle doit rester l’exception plutôt que la règle. Quel que soit le support, gardez en tête qu’un air-gap réduit fortement le risque ransomware, mais ne protège ni d’un vol, ni d’un incendie, ni d’une inondation, ni d’une panne matérielle. C’est pour cela que la rotation et, si possible, une copie hors site sont déterminantes.

Étape 1 — Choisir le bon média en 5 minutes (règles simples)

Pour un usage professionnel, la règle est : capacité, fiabilité, routine. La capacité doit laisser de la marge : prévoyez au minimum 2× la taille des données à protéger, et davantage si vous conservez un historique (ce qui est fortement recommandé). La fiabilité se joue à l’achat et à l’usage : privilégiez une marque reconnue, un revendeur sérieux, et évitez les supports « trop beaux pour être vrais », notamment sur les marketplaces où les contrefaçons existent.

Si vous le pouvez, partez directement sur deux supports en rotation. L’air-gap protège du chiffrement à distance, mais pas d’une panne du disque au mauvais moment. Une rotation A/B améliore nettement la résilience sans complexifier votre quotidien. Si vous ne pouvez commencer qu’avec un seul support, un SSD externe est souvent un bon compromis pour limiter les risques liés aux manipulations fréquentes.

Étape 2 — Chiffrer le support (10 à 20 minutes)

Le chiffrement n’est pas un “bonus” : une sauvegarde hors ligne se transporte, peut se perdre, être volée ou oubliée. Sans chiffrement, c’est une fuite de données en puissance. Avec un volume chiffré et une phrase de passe solide, le support reste exploitable uniquement par les personnes autorisées, même s’il sort de votre contrôle.

Point important : ne stockez pas la phrase de passe sur le même support, et évitez de dépendre d’une seule personne. Prévoyez un mode de récupération conforme à votre politique (coffre-fort d’entreprise, procédure documentée, double contrôle) et vérifiez que vous pourrez encore déverrouiller le volume en situation dégradée.

Option A : VeraCrypt (Windows / macOS / Linux)

VeraCrypt permet de chiffrer un disque entier ou de créer un « conteneur » chiffré (un gros fichier qui contient vos données). Pour une sauvegarde, le conteneur est souvent plus simple à manipuler, tandis que le chiffrement du lecteur entier est pertinent si le disque est dédié exclusivement aux sauvegardes. Dans tous les cas, gardez une discipline stricte : monter le volume uniquement pendant la copie ou la restauration, puis le démonter immédiatement.

1. Installez VeraCrypt puis lancez-le.
2. Choisissez Créer un volume → Créer un conteneur chiffré (simple) ou Chiffrer une partition/un lecteur (si le disque est dédié).
3. Conservez les réglages par défaut si vous débutez et définissez une phrase de passe longue.
4. Formatez le volume : exFAT est pratique si vous passez entre Windows et macOS ; NTFS convient si vous restez côté Windows.
5. Montez le volume chiffré, copiez vos données, puis démontez le volume.

Documentation officielle : VeraCrypt – Documentation.

Option B : LUKS (Linux)

Sur Linux, LUKS (via dm-crypt) est une référence robuste et naturelle en environnement Linux. Chiffrez le disque externe, montez-le uniquement lorsque vous effectuez la sauvegarde, puis démontez-le aussitôt. Anticipez toutefois la compatibilité : si le support doit être lu sur d’autres systèmes, LUKS est généralement moins pratique qu’une solution multi-OS comme VeraCrypt, et ce point doit être décidé avant de standardiser la procédure.

Référence utile : ArchWiki – dm-crypt / LUKS.

Étape 3 — Copier les bons dossiers (10 à 15 minutes)

Le piège classique est de “tout copier” sans méthode, puis de découvrir au pire moment que l’on a oublié l’essentiel, ou que la sauvegarde est inexploitable faute de structure. Pour un tutoriel express, visez un périmètre court mais critique : dossiers métiers (projets, documents clients, production, devis/factures), données applicatives qui ne se reconstituent pas facilement (exports de compta/CRM, bases locales, archives pertinentes), ainsi que les éléments nécessaires au redémarrage opérationnel (par exemple un export chiffré du coffre-fort si votre politique l’autorise, et les licences/clefs uniquement dans le volume chiffré).

Ajoutez systématiquement un court « mode d’emploi » dans la sauvegarde : où sont les données, comment les ouvrir, et qui contacter. En situation de crise, ce fichier évite les mauvaises interprétations et accélère la remise en service. Pour garder les choses lisibles, utilisez une arborescence stable sur le support, et consignez dans un fichier texte la date, la machine source, l’outil utilisé (copie simple, rsync, robocopy) et le périmètre copié. Si vous avez quelques minutes de plus, privilégiez une méthode qui préserve les métadonnées (structure, dates) afin de faciliter les mises à jour et de réduire les oublis.

Étape 4 — Déconnecter, stocker, et gérer la rotation (la partie “air-gap”)

Une sauvegarde n’est air-gapped que si elle est physiquement déconnectée et rangée de manière contrôlée. Une fois la copie terminée, éjectez proprement le support, puis débranchez-le. Stockez-le dans un emplacement défini, à l’abri des chocs, de l’humidité et des températures extrêmes, avec un contrôle d’accès adapté (armoire fermée, coffre, placard IT).

La rotation A/B est une mesure simple et très efficace : un support reste hors ligne pendant que l’autre sert à la sauvegarde, ce qui limite l’exposition au moment où le disque est branché. Si vous le pouvez, conservez au moins une copie dans un autre lieu : l’air-gap ne résout pas les sinistres physiques et une sauvegarde unique, même hors ligne, reste un point de défaillance.

Étape 5 — Checklist de sécurité (à imprimer)

Avant de ranger le support, vérifiez que le chiffrement est actif et que le volume est bien démonté, que la phrase de passe est gérée selon votre politique et récupérable sans improvisation, et qu’un test de restauration a été fait en ouvrant quelques fichiers au hasard pour confirmer qu’ils sont lisibles. Contrôlez rapidement la cohérence (taille, présence des dossiers attendus, absence d’erreurs de copie), consignez la date, le périmètre, le support utilisé et les anomalies, puis assurez-vous que la déconnexion physique est réelle et durable. Enfin, clarifiez qui a le droit de monter le volume et, si nécessaire, tracez cet accès : l’air-gap ne doit pas devenir une zone grise de gouvernance.

Aller plus loin : relier l’air-gap à une stratégie globale

L’air-gap est une excellente brique, mais il ne remplace pas une stratégie complète. Une sauvegarde utile s’inscrit dans une logique 3-2-1 (ou 3-2-1-1-0), avec une fréquence adaptée, de la rétention et du versioning, et surtout des tests de restauration réguliers. Une approche réaliste pour PME/TPE consiste souvent à combiner une sauvegarde locale (rapide pour restaurer), une sauvegarde hors ligne (air-gapped), et une copie externalisée (cloud ou site secondaire) selon vos contraintes de conformité, de budget et de criticité.

Pour une vue simple côté PME/TPE, vous pouvez aussi lire : Trois méthodes de sauvegarde de fichiers pour les toutes petites entreprises.

Conclusion (en 60 minutes, vous avez un filet de sécurité très solide)

Une sauvegarde air-gapped n’a de valeur que si elle est chiffrée, compréhensible, testée et réellement déconnectée. En combinant un support fiable, une copie ciblée des données qui comptent, un test de restauration immédiat, puis une rotation et un stockage contrôlé, vous réduisez drastiquement l’impact d’un ransomware et des erreurs du quotidien. La clé n’est pas la sophistication, mais la discipline : sauvegarder régulièrement, isoler systématiquement, et savoir restaurer vite lorsque l’urgence n’attend pas.