Tutoriel express : créer une sauvegarde hors ligne sécurisée (air-gapped) en une heure
Commentaires fermés sur Tutoriel express : créer une sauvegarde hors ligne sécurisée (air-gapped) en une heure 
Une sauvegarde “air-gapped” (hors ligne) consiste à conserver une copie de vos données critiques sur un support physique chiffré déconnecté du réseau et d’Internet en dehors de la fenêtre de sauvegarde. L’enjeu n’est pas seulement de “ne pas être sur Internet”, mais de ne pas être accessible depuis un poste compromis : ransomware, vol d’identifiants, rebond via partages, outils d’administration détournés ou effacement des sauvegardes en ligne. C’est l’un des moyens les plus efficaces pour résister à un chiffrement généralisé, aux erreurs humaines et à certains sinistres, car même si le SI est touché, la copie hors ligne reste hors de portée. En revanche, elle n’a de valeur que si elle est réellement débranchée la majorité du temps et si la restauration a été testée.
Objectif : une sauvegarde hors ligne sûre, simple et reproductible
En entreprise, l’air-gap n’est pas un luxe : c’est une barrière de dernier recours quand le reste a échoué (poste infecté, comptes admin compromis, sauvegardes réseau effacées, scripts d’attaque capables de viser les solutions de backup). L’objectif de ce guide est d’obtenir une méthode rapidement opérationnelle, mais suffisamment robuste pour durer : un support dédié avec chiffrement, une copie vérifiable qui évite l’effet “miroir destructeur”, un stockage physique cadré et une discipline minimale de traçabilité et de tests de restauration. Le but n’est pas de tout complexifier, mais d’éviter les angles morts classiques qui transforment une “copie” en faux sentiment de sécurité.
Étape 1 (5–10 min) : choisir le bon support hors ligne
Pour une sauvegarde air-gapped, évitez les supports “multi-usage” (clé USB de dépannage, disque personnel) qui finissent branchés partout. Choisissez un support réservé à cet usage, identifié, daté et inventorié, avec un responsable clairement désigné. Le disque dur externe (HDD) offre un excellent ratio capacité/prix, mais supporte mal les chocs ; il est adapté aux rotations hebdomadaires ou mensuelles et à l’archivage. Le SSD externe est plus rapide et plus robuste mécaniquement, mais plus coûteux ; il convient bien si vous sauvegardez fréquemment ou si la fenêtre de copie est courte.
La rotation de deux supports (A et B) est fortement recommandée. Elle réduit le risque de perdre l’unique copie hors ligne (vol, casse, erreur de manipulation) et permet de conserver une trace temporelle minimale. En capacité, prévoyez de la marge : viser au moins deux fois le volume des données critiques est un bon point de départ, mais la règle réelle dépend de votre besoin d’historique et de votre rythme de changement. Sans plusieurs générations, une corruption lente ou un chiffrement détecté tardivement peut rendre une sauvegarde “récente” inutilisable.
Étape 2 (15–25 min) : chiffrer le support (VeraCrypt ou LUKS)
Le chiffrement est indispensable : un disque hors ligne peut être égaré, volé ou emporté hors site. Sans chiffrement, la sauvegarde devient une fuite de données potentielle, souvent plus grave qu’une indisponibilité. L’objectif est simple : le support doit rester inexploitable sans secret, y compris s’il tombe dans de mauvaises mains.
Option A : VeraCrypt (Windows/macOS/Linux)
VeraCrypt est pratique en environnement hétérogène, notamment quand la restauration doit pouvoir se faire depuis plusieurs OS. Documentation officielle : https://www.veracrypt.fr/en/Documentation.html. Sur le poste qui réalisera les sauvegardes, créez un volume chiffré sur le disque (idéalement en chiffrant une partition ou le disque non système), choisissez un algorithme standard comme AES, puis définissez une phrase de passe longue. Formatez ensuite le volume selon votre contexte : exFAT pour une compatibilité Windows/macOS, NTFS si l’écosystème est 100 % Windows.
La gestion du secret compte autant que le chiffrement. Stockez la phrase de passe dans un gestionnaire de mots de passe d’entreprise ou un coffre-fort numérique avec contrôle d’accès, et définissez une procédure de récupération. Le bon compromis en contexte professionnel consiste à éviter le “secret détenu par une seule personne” tout en limitant strictement les personnes autorisées, avec une trace de l’accès au secret lorsque c’est possible.
Option B : LUKS (Linux)
Si votre poste de sauvegarde est Linux, LUKS via cryptsetup est un standard robuste et intégré. Le principe est de créer une partition, l’initialiser en LUKS, puis formater le système de fichiers à l’intérieur une fois le conteneur déchiffré. L’intérêt est une intégration native, des contrôles fins (montage, droits, automatisation) et une maintenance simplifiée dans un parc Linux.
Quel que soit l’outil, retenez le critère déterminant : la sauvegarde doit rester inutilisable sans le secret, et ce secret doit être géré comme un actif critique.
Étape 3 (15–20 min) : réaliser la copie “propre” (vérifiable et avec historique)
Une sauvegarde efficace est sélective, traçable et restaurable. Pour aller vite sans rater l’essentiel, définissez un périmètre réaliste qui couvre les données vitales : documents opérationnels et projets, exports de bases de données lorsque c’est nécessaire, configurations critiques (VPN, pare-feu, applicatifs, scripts), et données sensibles métier (RH, finance) selon vos règles internes. Évitez de “tout prendre” si vous n’avez ni la fenêtre ni l’outillage, car une sauvegarde trop lourde finit souvent abandonnée. À l’inverse, documentez explicitement ce qui est inclus et exclu afin d’éviter les surprises le jour d’une restauration.
Le point le plus souvent négligé est le risque des synchronisations miroir. Une copie qui réplique les suppressions ou les fichiers chiffrés peut détruire votre sauvegarde au même rythme que l’attaque. Pour une sauvegarde hors ligne, visez au minimum un historique simple, par exemple des répertoires datés, et une rétention définie. Ce n’est pas un luxe : c’est la condition pour revenir à un état antérieur sain.
Windows : Robocopy (simple et fiable)
Exemple à adapter :
robocopy "D:\DonneesCritiques" "X:\BACKUP\DonneesCritiques" /E /R:1 /W:1 /XJ /FFT /NP /LOG+:X:\BACKUP\backup.logCe mode copie les sous-dossiers, limite les tentatives en cas d’erreur, évite certains pièges de jonctions et produit un journal. Par défaut, évitez /MIR tant que votre stratégie d’historique n’est pas maîtrisée, car /MIR peut supprimer côté destination si des fichiers sont supprimés ou altérés côté source. Pour conserver un historique simple, copiez vers un chemin daté, par exemple X:\BACKUP\2026-05-10\DonneesCritiques, puis appliquez une règle de rétention claire pour le nettoyage.
Linux/macOS : rsync
Exemple à adapter :
rsync -avh --progress /data/critique/ /mnt/airgap/BACKUP/critique/ | tee -a /mnt/airgap/BACKUP/backup.logDe la même façon, évitez --delete si vous n’avez pas d’historique, car cela peut propager des suppressions ou effets de chiffrement. Si vous avez besoin de points de retour, utilisez un répertoire daté comme /mnt/airgap/BACKUP/2026-05-10/critique/ ou une approche de snapshots adaptée à votre environnement.
Une fois la copie terminée, vérifiez rapidement qu’elle est exploitable : volume global cohérent, ouverture d’un échantillon de fichiers, et présence des logs. Si possible, générez et conservez des sommes de contrôle (par exemple SHA-256) pour pouvoir vérifier l’intégrité plus tard, notamment si le support est stocké longtemps.
Étape 4 (5 min) : déconnecter et stocker physiquement (la vraie “air-gap”)
Une sauvegarde n’est air-gapped que si elle est réellement débranchée et hors de portée d’un poste compromis la majorité du temps. Après la copie, démontez ou éjectez proprement le volume chiffré, débranchez le support, puis stockez-le dans un emplacement prévu : armoire fermée, coffre, ou idéalement un site secondaire pour éviter qu’un incident local (incendie, dégâts des eaux, vol) n’emporte production et sauvegarde au même endroit. Une pochette de protection, une étiquette “Air-gap A” / “Air-gap B” et un registre simple (date, opérateur, périmètre, résultat, emplacement) transforment une bonne intention en pratique durable.
Checklist sécurité : maintenir une sauvegarde hors ligne stable
La fiabilité d’une sauvegarde hors ligne tient moins à l’outil qu’à la régularité et à la preuve qu’elle restaure. Fixez une fréquence alignée sur votre besoin de perte de données acceptable : hebdomadaire au minimum pour des fichiers critiques, parfois quotidienne selon l’activité. Maintenez une rotation A/B et, si possible, un stockage hors site. Le chiffrement doit rester systématique, avec une phrase de passe robuste et une procédure de récupération documentée, limitée à quelques personnes autorisées. Conservez plusieurs points dans le temps, typiquement deux à quatre générations a minima, davantage si vos risques ou vos délais de détection sont élevés. Faites des tests de restauration réguliers, idéalement mensuels, sur une machine saine, car une sauvegarde non testée est une hypothèse, pas une garantie. Enfin, conservez les journaux de copie et un registre d’exécution ; en incident, ces éléments font la différence entre “nous pensons avoir une sauvegarde” et “nous savons que nous pouvons restaurer”.
Aller plus loin : compléter avec une stratégie globale (3-2-1, NAS, cloud)
L’air-gap est une pièce maîtresse, mais il est encore plus efficace dans une stratégie 3-2-1 : plusieurs copies, sur des supports différents, avec au moins une copie hors site. Un NAS ou une sauvegarde cloud améliorent l’automatisation et accélèrent souvent les restaurations courantes, mais ils restent potentiellement atteignables depuis un environnement compromis si les accès ou l’administration sont détournés. La copie hors ligne, elle, conserve son rôle d’assurance anti-ransomware lorsque le reste est sous attaque. Si vous utilisez (ou envisagez) un stockage réseau, vous pouvez aussi consulter cet article interne : Comment marche un serveur NAS : fonctionnalités et usages.
Résumé “1 heure” (plan minute par minute)
Dans les dix premières minutes, choisissez un support dédié, identifiez-le (A/B) et cadrer son stockage et son responsable. Sur les vingt à vingt-cinq minutes suivantes, chiffrez le support avec VeraCrypt ou LUKS, définissez la phrase de passe et formalisez l’accès et la récupération. Consacrez ensuite une vingtaine de minutes à la copie des données vitales avec Robocopy ou rsync en produisant des logs et en conservant au minimum un historique simple via des dossiers datés. Terminez par l’éjection propre, la déconnexion physique et le rangement dans l’emplacement prévu, puis notez immédiatement la date, le résultat et planifiez le prochain test de restauration.
Conclusion : une sauvegarde air-gapped n’est pas un “disque qu’on branche de temps en temps”, c’est une routine opérationnelle qui doit survivre à un SI compromis. Les actions décisives sont de dédier et chiffrer le support, d’éviter les copies miroir destructrices en conservant plusieurs générations, de produire des preuves (logs, registre, contrôles d’intégrité) et, surtout, de tester régulièrement la restauration. Si ces quatre réflexes sont en place et tenus dans le temps, l’air-gap devient une vraie ligne de défense, simple, robuste et immédiatement utile le jour où tout le reste échoue.