Tutoriel express : créer une sauvegarde hors ligne sécurisée (air-gapped) en une heure

Une sauvegarde air-gapped (ou « hors ligne ») est une copie de vos données stockée sur un support physiquement déconnecté de tout réseau. C’est l’un des moyens les plus efficaces pour limiter l’impact des ransomwares, des comptes compromis et de certains incidents internes (erreur de manipulation, suppression involontaire). L’objectif ici est pragmatique : mettre en place en moins d’une heure une sauvegarde hors ligne chiffrée, répétable et facile à maintenir en entreprise, sans créer une usine à gaz. Gardez toutefois en tête qu’« air-gap » ne signifie pas « infaillible » : la valeur vient de la combinaison entre isolation physique, discipline opérationnelle et capacité réelle à restaurer.

1) Préparer le bon support (5 à 10 minutes)

Le choix du média est déterminant, car c’est lui qui portera le risque matériel et la contrainte opérationnelle. Un SSD externe est rapide, robuste face aux chocs et agréable à utiliser pour des sauvegardes fréquentes ; il coûte plus cher au gigaoctet mais fait gagner du temps et réduit les manipulations. Un HDD externe offre de grandes capacités à coût réduit, au prix d’une fragilité mécanique plus élevée : il doit être transporté et stocké avec soin. Les clés USB sont pratiques mais trop variables en qualité, endurance et performances pour des sauvegardes critiques et volumineuses ; elles conviennent plutôt à des transferts ponctuels. Les bandes LTO constituent une excellente solution professionnelle, avec un air-gap naturel et une bonne longévité, mais impliquent un investissement et des procédures plus structurées : c’est rarement le meilleur point de départ en mode « une heure ».

Pour démarrer vite et bien, choisissez un SSD ou un HDD d’une marque reconnue, et prévoyez idéalement deux supports identiques afin de mettre en place une rotation (voir la partie maintenance). Si vous partez d’un NAS ou d’un stockage central, considérez-le comme source ; la sauvegarde air-gapped doit en revanche se terminer sur un support qui sera effectivement débranché. Un disque USB laissé en permanence connecté à un NAS ou à un serveur ne constitue pas un air-gap : il reste exposé aux mêmes identités, aux mêmes erreurs et souvent aux mêmes malwares.

2) Définir le périmètre : quoi sauvegarder (5 minutes)

Pour tenir le délai, il faut viser le minimum vital, c’est-à-dire ce qui permet réellement à l’entreprise de redémarrer. Concentrez-vous sur les documents métiers essentiels (projets, comptabilité, RH, juridique), sur les données applicatives via des sauvegardes natives quand elles existent (exports, dumps, mécanismes de backup de l’outil) plutôt qu’une simple copie de fichiers « à chaud », et sur les éléments qui rendent une restauration possible : configurations, scripts, paramètres, et surtout un inventaire clair de ce qui est nécessaire pour remettre en service.

Une approche efficace consiste à centraliser ce périmètre dans un dossier unique, par exemple BACKUP_AIRGAP, afin de réduire les oublis et d’accélérer les copies. Évitez d’y intégrer des éléments volumineux sans valeur de reprise (caches, téléchargements, temporaires), qui rallongent la sauvegarde et compliquent la restauration. Si certaines données sont très sensibles, réfléchissez dès maintenant à la séparation des périmètres ou à des volumes chiffrés distincts, pour limiter l’exposition en cas de compromission de la passphrase.

3) Chiffrer la sauvegarde (15 à 25 minutes)

Une sauvegarde hors ligne non chiffrée reste un risque majeur : perte ou vol du support, indiscrétion, mauvaise manipulation, conservation dans un lieu non sécurisé. Le chiffrement doit donc être la règle, à condition d’être accompagné d’une gestion des secrets rigoureuse ; sinon, vous échangez un risque contre un autre et vous vous retrouvez avec une sauvegarde inutilisable le jour où vous en avez besoin. L’objectif est simple : chiffrer de façon robuste tout en garantissant qu’au moins deux personnes habilitées puissent restaurer, même en situation dégradée.

Option A — VeraCrypt (Windows / macOS / Linux)

VeraCrypt est adapté aux environnements mixtes. Vous pouvez créer un conteneur chiffré (un fichier unique, portable et facile à copier) ou chiffrer directement le disque/partition (souvent plus confortable au quotidien). Dans les deux cas, un algorithme standard comme AES convient très bien, et il est important de dimensionner l’espace avec une marge de croissance. Utilisez une phrase de passe longue et, si votre organisation sait gérer ce niveau de complexité, une keyfile séparée peut ajouter une barrière supplémentaire. Le point critique n’est pas l’outil, mais la gouvernance : la phrase de passe doit être stockée dans un coffre d’entreprise avec contrôle d’accès, la procédure de récupération doit être documentée, et l’accès ne doit pas dépendre d’une seule personne.

Option B — LUKS (Linux)

Sur Linux, LUKS est une référence éprouvée pour chiffrer une partition ou un disque. L’attention doit porter sur le risque d’erreur lors de la sélection du périphérique, puis sur la procédure de déverrouillage en conditions réelles : qui est habilité, où est stockée la passphrase, comment gérer les absences, et comment organiser la rotation des secrets lors des changements d’équipe. LUKS est robuste, mais une gestion imprécise des accès ou une passphrase perdue rendent la sauvegarde inutilisable, ce qui annule tout bénéfice.

4) Copier les données et vérifier (15 à 20 minutes)

Copier ne suffit pas : une sauvegarde non vérifiée est une hypothèse, pas une capacité de reprise. En mode rapide, vérifiez au minimum en ouvrant plusieurs fichiers directement depuis le volume chiffré monté, en comparant l’ordre de grandeur des tailles et en vous assurant que l’arborescence attendue est bien présente. Ajoutez une trace de ce qui a été inclus, quand, par qui et selon quelle méthode, par exemple dans un README déposé dans le volume ou dans un registre interne ; cette traçabilité accélère les restaurations et évite les débats le jour de la crise.

Si vous pouvez aller un cran plus loin sans dépasser le temps imparti, utilisez un outil qui journalise et fiabilise la copie. Sur Windows, robocopy avec log est un bon standard opérationnel. Sur Linux et macOS, rsync permet une copie incrémentale et une meilleure visibilité sur ce qui a été réellement transféré. L’enjeu est de réduire au maximum l’écart entre « on pense que c’est sauvegardé » et « on sait que c’est restaurable ».

5) Air-gap réel : déconnexion + stockage physique (5 à 10 minutes)

Le terme « air-gapped » n’a de valeur que si l’isolation est concrète et maintenue dans le temps. Une fois la copie terminée, démontez proprement le volume chiffré, éjectez le support, puis débranchez-le physiquement. Évitez les situations ambiguës, comme un disque laissé sur un hub ou « temporairement » connecté en permanence : ce sont précisément ces habitudes qui annulent l’effet de l’air-gap face à des malwares opportunistes ou à une compromission de poste.

Le stockage doit être maîtrisé : armoire fermée, coffre, ou idéalement un emplacement distinct. Un point souvent sous-estimé est le risque de sinistre ; si tout reste dans le même local, un incendie, un dégât des eaux ou un vol peut supprimer à la fois la production et la sauvegarde. La bonne pratique consiste à utiliser une rotation de supports et à conserver au moins une copie hors site ou, à défaut, dans une autre zone coupe-feu avec contrôle d’accès.

6) Checklist de sécurité (à imprimer)

Le support est dédié à la sauvegarde, la sauvegarde est chiffrée et la méthode est documentée de manière exploitable. La passphrase est suffisamment robuste, stockée dans un coffre d’entreprise, et un processus de récupération existe avec au moins deux personnes habilitées. La sauvegarde a été vérifiée de façon concrète, et une trace permet de savoir exactement ce qui a été sauvegardé et à quelle date. Le support a bien été déconnecté après l’opération, puis stocké dans un lieu sûr, idéalement avec une logique de rotation. Enfin, un test de restauration est planifié et tracé, car une sauvegarde non restaurée n’est pas une garantie mais une illusion.

7) Maintenir la sauvegarde sans y passer la vie

Une bonne sauvegarde hors ligne est régulière, prévisible et réalisable par quelqu’un d’autre que son concepteur. La méthode la plus simple consiste à instaurer une rotation sur deux disques, alternés selon un rythme fixe, de sorte qu’un support soit toujours hors ligne et potentiellement sain. Fixez un créneau récurrent, par exemple chaque vendredi en fin d’après-midi, afin de limiter les oublis et les arbitrages au dernier moment. Documentez une procédure courte et actionnable, qui précise où sont les supports, comment monter/démonter le volume chiffré, comment vérifier, et comment restaurer.

L’air-gap est une brique, pas une stratégie complète. Il doit s’articuler avec une politique d’accès minimal, des sauvegardes complémentaires selon la règle 3-2-1, et des tests de restauration réguliers. Pour approfondir la préparation face aux ransomwares, la ressource de référence « StopRansomware » de la CISA constitue un bon point d’appui : https://www.cisa.gov/stopransomware/.

Conclusion

Une sauvegarde air-gapped utile n’est pas seulement un disque débranché : c’est un périmètre maîtrisé, un chiffrement réellement récupérable, une copie vérifiée et une discipline de déconnexion et de stockage. En moins d’une heure, vous pouvez mettre en place une base solide si vous choisissez un support fiable, que vous chiffrez correctement, que vous prouvez la sauvegarde par une vérification simple et que vous organisez la rotation. La suite est ce qui fait la différence en situation de crise : maintenir un rythme, tester la restauration, et intégrer l’air-gap dans une stratégie globale de résilience afin de pouvoir redémarrer vite, proprement et sans négociation.