Tutoriel express : créez une sauvegarde hors ligne sécurisée (air-gapped) en moins d’une heure

Une sauvegarde « air-gapped » (hors ligne) est une copie de vos données stockée sur un support physiquement déconnecté d’Internet et de votre réseau. L’objectif est simple : même si un ransomware chiffre vos serveurs, si un compte cloud est compromis ou si un attaquant obtient des droits d’administration, cette copie reste hors de portée tant qu’elle n’est pas rebranchée. Attention toutefois au faux sentiment de sécurité : l’air-gap ne protège pas contre une sauvegarde déjà corrompue, incomplète ou réalisée depuis un poste compromis. Ce guide vous permet de mettre en place une sauvegarde hors ligne chiffrée, réellement exploitable, en moins d’une heure, avec une méthode réaliste pour une petite équipe ou une PME.

1) Ce que vous allez préparer (5 minutes)

Avant de commencer, assurez-vous d’avoir un support de stockage fiable (disque dur externe ou SSD, idéalement plutôt qu’une clé USB), un poste « propre » dédié à l’opération autant que possible, un outil de chiffrement adapté à votre système, les données à sauvegarder et un moyen sérieux de conserver les secrets. Le poste de sauvegarde doit être à jour et protégé, car si cette machine est infectée, elle peut copier des données déjà chiffrées, embarquer une corruption silencieuse ou servir de point d’entrée lors du branchement du support. Enfin, prévoyez dès maintenant où seront conservées la phrase de passe, la clé de récupération ou toute information de déchiffrement : l’erreur la plus fréquente consiste à sécuriser le disque… puis à perdre le secret qui permet de restaurer.

Rappel important : une sauvegarde n’est réellement « gappée » que si le support reste déconnecté la majeure partie du temps. Un disque branché en continu, même s’il est chiffré, redevient exposé aux malwares capables de chiffrer ou d’effacer les données lorsqu’il est monté.

2) Choisir le bon média : HDD, SSD ou clé USB ? (10 minutes)

Le choix du support influe directement sur la fiabilité et la capacité à restaurer vite. Un disque dur externe (HDD) offre un excellent rapport capacité/prix et convient bien aux volumes importants, à condition de le manipuler et de le stocker soigneusement, car il reste sensible aux chocs. Un SSD externe est plus résistant aux manipulations et généralement plus rapide, ce qui réduit le temps d’exposition pendant la fenêtre de sauvegarde, mais il est plus coûteux à capacité égale. Les clés USB, quant à elles, sont pratiques mais très variables en qualité, plus faciles à perdre et rarement idéales pour des sauvegardes professionnelles régulières ; si vous devez en utiliser une, limitez-vous à un périmètre réduit et chiffrez systématiquement.

Pour une approche robuste, prévoyez au minimum deux supports identiques en rotation afin d’éviter le « point de défaillance unique » et de conserver un minimum d’historique. Une rotation simple (A/B) apporte déjà une forte valeur : pendant que l’un est stocké, l’autre sert à la prochaine sauvegarde. Si les enjeux sont élevés, une troisième unité permet d’augmenter l’historique et de réduire le risque qu’une corruption ou une suppression passe inaperçue.

3) Chiffrer la sauvegarde : méthode simple avec VeraCrypt (15 minutes)

Le chiffrement protège vos données en cas de perte ou de vol du support, et il limite l’exposition si le support est brièvement manipulé hors de vos locaux. Pour un contexte mixte Windows/macOS/Linux, VeraCrypt reste une option accessible et éprouvée. Téléchargez-le uniquement depuis le site officiel : https://www.veracrypt.fr/en/Home.html.

Deux approches sont courantes. Le conteneur chiffré (un fichier) est rapide à mettre en place et pratique pour démarrer, mais il impose de choisir une taille et peut devenir contraignant si vos données augmentent. Le chiffrement du disque entier est souvent plus simple au quotidien et évite les problèmes de dimensionnement, à condition d’être rigoureux lors de l’initialisation pour ne pas chiffrer le mauvais disque et pour identifier clairement le support.

Étapes (VeraCrypt — conteneur chiffré)

Installez VeraCrypt sur le poste, puis ouvrez l’outil et lancez la création d’un volume chiffré sous forme de conteneur. Placez ce fichier directement sur le disque externe en lui donnant un nom explicite sans révéler la nature des données. Conservez l’algorithme AES si vous débutez, dimensionnez le conteneur avec une marge suffisante pour absorber l’évolution à court terme, puis définissez une phrase de passe longue et unique. La phrase de passe ne doit jamais être stockée uniquement sur le poste qui effectue la sauvegarde, et elle doit rester accessible même si la personne habituelle est absente, via un gestionnaire d’entreprise, un coffre ou un dispositif de conservation adapté à votre organisation. Pour le format, choisissez exFAT si vous devez lire/écrire à la fois sur Windows et macOS, NTFS si vous restez strictement sur Windows, et privilégiez plutôt LUKS si vous êtes en environnement Linux.

Une fois le conteneur créé, montez-le dans VeraCrypt, copiez vos données à l’intérieur comme sur un disque classique, puis démontez le volume dès la fin de la copie. Le support ne doit rester monté que le temps nécessaire, afin de réduire la fenêtre d’exposition.

Alternative Windows : BitLocker (simple en environnement Microsoft)

Dans un environnement principalement Windows Pro/Entreprise, BitLocker sur un disque externe est souvent la voie la plus simple et la plus opérable, notamment grâce à l’intégration système et aux politiques de sécurité. Stockez la clé de récupération dans un emplacement maîtrisé et durable, par exemple via un gestionnaire d’entreprise, un coffre ou votre annuaire/MDM selon votre contexte, et évitez absolument une conservation unique sur le PC qui réalise la sauvegarde.

Option Linux : LUKS

En environnement Linux, LUKS est le standard de facto pour chiffrer un volume. Appuyez-vous sur la documentation de votre distribution, mettez en place une gestion de clés claire et vérifiable, et appliquez le même principe opérationnel : le volume n’est monté que pendant la fenêtre de sauvegarde, puis il est démonté avant toute déconnexion.

4) Copier les données rapidement et proprement (15–20 minutes)

La plupart des sauvegardes échouent en restauration non pas parce que la copie a planté, mais parce que personne ne sait exactement ce qui a été sauvegardé, à quelle date et comment reconstituer le périmètre. Pour rester rapide tout en restant restaurable, adoptez une arborescence stable et lisible, et gardez une trace écrite de chaque exécution. Un fichier de type README_RESTAURATION.txt doit décrire le périmètre, l’emplacement des sources, les prérequis logiciels, où retrouver les secrets et une procédure de restauration compréhensible par quelqu’un d’autre que l’auteur. Ajoutez également un journal daté qui indique ce qui a été copié, depuis quelles sources, avec quel outil, et par qui.

Pour la copie elle-même, évitez le simple glisser-déposer lorsque les volumes sont importants ou lorsqu’une reprise est nécessaire. Sur Windows, robocopy permet des copies robustes avec journalisation. Sur macOS et Linux, rsync facilite les copies incrémentales et traçables. Quelle que soit la méthode, ne vous contentez pas d’un « ça a l’air bon » : vérifiez au minimum les volumes copiés et, si possible, effectuez une vérification d’intégrité sur les éléments critiques. Conserver plusieurs versions est également déterminant : une sauvegarde unique peut être inutilisable si vous découvrez tard une corruption, une suppression ou un chiffrement déjà présent. Une règle simple et tenable vaut mieux qu’une rétention ambitieuse non maintenue, tant qu’elle vous permet de revenir en arrière.

5) Stockage physique : rendre l’air-gap réellement efficace (5 minutes)

Lorsque la copie est terminée, démontez le volume chiffré, éjectez proprement le support pour éviter toute corruption, puis débranchez-le. Le principe de l’air-gap repose sur cette déconnexion réelle : le support ne doit pas rester à portée logique d’un attaquant. Stockez ensuite le disque dans un lieu sécurisé et adapté, en tenant compte des risques physiques comme le vol, l’incendie, l’humidité ou les chocs. Si vous le pouvez, privilégiez un stockage hors site pour réduire le risque d’un sinistre local. Étiquetez enfin le support de manière non explicite, avec un code interne relié à votre documentation, afin d’éviter de faciliter la tâche en cas de perte ou de vol.

Pour renforcer la résilience, l’air-gap s’inscrit idéalement dans une logique de type 3-2-1 : plusieurs copies, sur plusieurs supports, dont une hors site. Une sauvegarde hors ligne complète très bien une stratégie NAS/cloud, mais ne remplace pas à elle seule les besoins de continuité d’activité, notamment si vous devez restaurer vite et souvent.

6) Checklist de sécurité (à cocher à chaque sauvegarde)

À chaque exécution, assurez-vous que le poste utilisé est à jour et sain, que le support est chiffré et démonté immédiatement après la copie, et que les secrets de déchiffrement sont conservés hors du poste de sauvegarde avec un accès contrôlé. Vérifiez que la structure de dossiers reste cohérente, que le fichier de restauration et le journal sont à jour, et qu’une vérification minimale a été effectuée sur des éléments réellement réutilisables. Terminez en éjectant puis en débranchant le support, et en le stockant dans un lieu sécurisé, idéalement hors site, avec un marquage qui ne révèle pas son contenu.

7) Assurer la pérennité : test de restauration et rotation (10 minutes, indispensable)

Une sauvegarde n’a de valeur que si la restauration est possible, rapide et sans ambiguïté. Prenez l’habitude de tester régulièrement un échantillon réel : montez le volume chiffré, restaurez un dossier et un fichier critique sur une machine de validation, puis ouvrez le contenu pour confirmer qu’il est exploitable. En parallèle, mettez en place une rotation simple et documentée, par exemple un support A une semaine et un support B la semaine suivante, afin d’avoir un minimum d’historique et de limiter l’impact d’une erreur humaine. Enfin, planifiez un créneau récurrent avec un responsable et un suppléant, car la discipline opérationnelle surpasse presque toujours une solution sophistiquée laissée sans suivi.

Conclusion : une sauvegarde air-gapped utile repose sur trois réflexes : chiffrer correctement le support, ne le connecter que le temps strictement nécessaire, et prouver par des tests que vous savez restaurer. Ajoutez une rotation simple, une documentation courte mais précise et un stockage physique sécurisé, et vous obtenez une protection concrète contre les ransomwares et les compromissions, sans complexité inutile.