Tutoriel express : créer une sauvegarde hors ligne air-gapped sécurisée en 60 minutes

Une sauvegarde air-gapped, c’est-à-dire hors ligne et physiquement déconnectée la majeure partie du temps, est effectivement l’un des remparts les plus efficaces contre les ransomwares, certaines erreurs humaines et les compromissions de comptes cloud. Elle ne règle pas tout à elle seule, mais elle joue un rôle crucial de dernier recours lorsque le reste a échoué. L’objectif reste réaliste : en environ 60 minutes, on peut mettre en place une sauvegarde chiffrée, reproductible et suffisamment robuste pour couvrir les scénarios les plus fréquents, à condition d’adopter une routine stricte et de savoir précisément ce que l’on doit pouvoir restaurer.

0) Ce que vous allez obtenir en 60 minutes

À la fin, vous disposerez d’un support dédié à la sauvegarde, d’un espace chiffré utilisable simplement, et d’une routine opérationnelle qui réduit drastiquement le risque de laisser le disque branché trop longtemps ou d’oublier une étape essentielle. Vous aurez aussi une méthode de vérification minimale mais concrète, ainsi qu’un cadre de rotation permettant de ne pas dépendre d’un seul support. L’ambition n’est pas de construire une usine à gaz, mais de mettre en place un filet de sécurité crédible, maintenable dans la durée et réellement utile le jour où il faut restaurer.

1) Choisir le bon support (5 à 10 min)

Le “air-gap” n’est pas un produit, c’est un comportement : le support n’est pas accessible à un attaquant parce qu’il est physiquement déconnecté. Le choix du média sert surtout à optimiser capacité, coût, fiabilité et facilité d’usage. Dans la pratique, un disque dur externe reste souvent le meilleur compromis capacité/prix pour des sauvegardes volumineuses, mais il est plus sensible aux chocs et à la manipulation lorsqu’il tourne. Un SSD externe apporte vitesse et robustesse mécanique, mais coûte plus cher et sa qualité varie selon les modèles ; il est très confortable pour des sauvegardes fréquentes et des restaurations rapides. Les clés USB, elles, rendent service pour un périmètre réduit, mais sont rarement une bonne “sauvegarde principale” à cause d’une qualité trop hétérogène, d’un risque de perte élevé et de performances parfois trompeuses.

Pour un usage professionnel ou une petite structure, la meilleure décision à ce stade consiste à prévoir deux supports identiques et à les faire tourner. Cette rotation limite les catastrophes silencieuses : corruption, panne, erreur de manipulation ou sauvegarde contaminée par une infection passée inaperçue. Elle renforce aussi la résilience sans complexifier le geste au quotidien.

2) Préparer une structure de sauvegarde simple (5 min)

Avant même de chiffrer ou de copier, il faut clarifier ce qui doit être restaurable. Sauvegarder “tout le PC” sans savoir ce qui est critique donne une illusion de sécurité et finit souvent en restauration impossible sous stress. Une structure simple, orientée métier, fonctionne mieux : documents vitaux (contrats, administratif, finance), projets en cours, exports applicatifs indispensables (compta, CRM, gestion commerciale) et, si cela vous concerne, éléments IT essentiels comme scripts, configurations, inventaires et informations nécessaires au redémarrage des services.

Le point décisif est de ne pas confondre copie de fichiers et capacité de reprise. Si votre activité dépend d’un logiciel, la bonne question n’est pas “ai-je copié des dossiers ?”, mais “ai-je les bons exports, les bonnes bases, les bons fichiers de configuration, et une procédure pour reconstruire ?”. Une sauvegarde air-gapped a de la valeur uniquement si elle permet une restauration réelle, pas seulement si elle occupe de l’espace.

3) Chiffrer la sauvegarde (15 à 25 min)

Le chiffrement n’est pas optionnel dès lors que le support peut être déplacé, perdu, volé ou stocké dans un endroit imparfaitement sécurisé. Sans chiffrement, vous transformez un incident matériel en incident de confidentialité. Deux approches sont simples et éprouvées.

Avec VeraCrypt, vous pouvez créer un conteneur chiffré monté comme un disque, ce qui convient bien lorsque l’environnement est hétérogène (Windows, macOS, Linux). C’est une solution flexible, à condition de télécharger le logiciel depuis la source officielle et de rester sur des paramètres standards éprouvés. Dans un parc homogène et maîtrisé, le chiffrement natif peut aussi être pertinent : BitLocker côté Windows ou FileVault côté macOS, à condition d’être rigoureux sur la gestion des clés de récupération.

Sous Linux, LUKS permet un chiffrement très robuste du disque entier. C’est souvent excellent, mais il faut être à l’aise avec les manipulations pour éviter les erreurs irréversibles. Quel que soit le choix, la cohérence prime : une méthode de récupération doit exister, être stockée de façon sécurisée, et surtout être testée. Enfin, le mot de passe doit être pensé comme une barrière sérieuse : une phrase de passe longue est préférable, et en contexte professionnel il faut éviter qu’une seule personne détienne l’unique moyen d’accès, sous peine de créer un point de blocage critique le jour où l’on doit restaurer.

4) Réaliser la sauvegarde (10 à 15 min)

La séquence doit rester immuable : brancher, monter le volume chiffré, sauvegarder, puis éjecter proprement et déconnecter. Pour réduire les oublis et garantir l’exhaustivité, un outil de synchronisation avec journal est généralement préférable au simple glisser-déposer, car il permet de tracer ce qui a été copié et de détecter des erreurs. Vous pouvez toutefois démarrer simplement, tant que vous avez une liste claire des dossiers et exports à inclure.

Sur Windows, le volume VeraCrypt apparaît comme un lecteur ; vous copiez vos dossiers critiques ou vous utilisez un outil fiable de synchronisation, puis vous démontez le volume et vous éjectez le disque. Sur macOS, le principe est identique. Sur Linux, vous montez le volume VeraCrypt ou LUKS, vous copiez, puis vous démontez proprement. Dans tous les cas, une règle domine : ne laissez jamais le support branché en continu, car vous annulez le bénéfice de l’isolement. Il est aussi prudent d’effectuer la sauvegarde lorsque la machine est dans un état sain, avec des mises à jour appliquées et sans signaux d’alerte, car un support de sauvegarde peut devenir, lui aussi, un vecteur si on le branche à une machine compromise.

5) Vérifier rapidement (5 min)

Une sauvegarde non vérifiée reste une hypothèse. En quelques minutes, vous pouvez déjà faire beaucoup : vérifier que les tailles et le volume de données semblent cohérents, ouvrir quelques fichiers au hasard depuis le volume chiffré, et contrôler au moins un élément réellement critique comme un export de comptabilité ou un document indispensable. L’idée n’est pas de tout relire, mais de détecter immédiatement une sauvegarde vide, incomplète ou illisible.

Il est également très utile d’ajouter un petit fichier de restauration dans la sauvegarde, indiquant la date, le périmètre sauvegardé et les étapes pour restaurer. Cela transforme une sauvegarde en procédure, ce qui est exactement ce dont on a besoin en situation d’urgence. Si vous avez un peu de marge, des sommes de contrôle peuvent aider à détecter des corruptions silencieuses, mais le bénéfice principal à ce stade vient surtout de la discipline de vérification et de la clarté de la procédure.

6) Déconnexion et stockage physique (5 min)

Le “air-gap” devient réel au moment où vous démontez le volume chiffré, éjectez proprement, débranchez physiquement et rangez le support. Le stockage doit être pensé comme une mesure de sécurité à part entière : un endroit dédié, fermé, et si possible limité en accès. La rotation prend ici tout son sens : garder un support sur site pour la rapidité, et en stocker un autre hors site pour survivre à un vol, un incendie ou un dégât des eaux. Le chiffrement reste non négociable pour tout transport, et il faut éviter les habitudes dangereuses comme laisser un disque de sauvegarde dans une voiture.

7) Checklist minute (à imprimer)

Pour éviter les oublis, gardez une checklist simple qui suit exactement la routine. Elle doit rappeler l’identification du support A/B, l’ouverture du volume chiffré, la copie du périmètre défini incluant les exports applicatifs, une vérification rapide, puis le démontage, l’éjection, la déconnexion physique et le rangement dans l’emplacement prévu, avec une planification claire de la prochaine exécution. La checklist n’est pas un gadget : c’est ce qui transforme une bonne intention en pratique répétable, même lorsque vous êtes pressé.

8) Aller plus loin (sans complexifier)

Une sauvegarde air-gapped est très puissante, mais elle s’intègre idéalement dans une logique 3-2-1 : plusieurs copies, sur des supports différents, dont une hors site. L’amélioration la plus rentable après la mise en place initiale est l’historique, car une simple synchronisation peut propager une suppression ou une corruption ; disposer de versions datées protège contre les erreurs et les infections détectées tardivement. Enfin, un test de restauration régulier est ce qui fait passer votre dispositif du statut de “sauvegarde” à celui de “capacité de reprise” : restaurer un dossier sur un autre emplacement ou une autre machine, puis vérifier que l’usage prévu est réellement possible.

Conclusion

Une sauvegarde air-gapped n’est pas une solution élitiste : c’est une habitude rigoureuse, bâtie sur un support dédié, un chiffrement fiable, une sélection claire des données réellement restaurables et une routine stricte qui se termine toujours par la déconnexion physique. La meilleure version de cette stratégie tient en quelques gestes répétés sans exception : définir le périmètre critique, sauvegarder avec méthode, vérifier immédiatement, puis débrancher et stocker selon une rotation pensée pour survivre au pire. Ce qui fait la différence le jour de l’incident n’est pas la sophistication, mais la constance et la capacité prouvée à restaurer.