Accueil > Blog > Cybersécurité > Sauvegarder les données d’entreprise : règle 3-2-1, IP fixe et anti-ransomware

Sauvegarder les données d’entreprise : règle 3-2-1, IP fixe et anti-ransomware

4 mai 2026 6 min Cybersécurité

Sauvegarder les données de son entreprise est un sujet classique, mais souvent traité par les bons aspects : fréquence, support, chiffrement. Un angle moins discuté pèse pourtant lourd dans une stratégie de sauvegarde solide : la connectivité réseau, l’IP fixe pour accéder à distance aux backups, et la séparation entre IP de production et IP de stockage. Ce guide décrit les bonnes pratiques d’une sauvegarde efficace, avec un focus sur la dimension réseau-IP que les guides classiques oublient.

Le principe 3-2-1 reste la base

La règle 3-2-1, formalisée par le NIST, reste la référence :

  • 3 copies des données : la copie de production + 2 sauvegardes.
  • 2 supports différents : par exemple disque local + cloud distant.
  • 1 copie hors site : au moins une copie dans un lieu géographique distinct (en cas d’incendie, vol, ou catastrophe locale).

Sur cette base, la question opérationnelle est : où sont stockées ces copies, et comment y accéder en cas d’incident ? C’est là que l’IP fixe et la connectivité réseau deviennent critiques.

Pourquoi une IP fixe simplifie la sauvegarde à distance

Plusieurs scénarios de sauvegarde demandent une connectivité stable depuis (ou vers) une IP connue à l’avance :

  • Backup d’un serveur cloud vers un NAS bureau : le NAS doit accepter les connexions entrantes depuis l’IP du serveur cloud. Une IP fixe côté cloud permet la whitelist côté NAS.
  • Backup de plusieurs sites vers un serveur central : chaque site source pousse vers le serveur central, qui n’autorise que les IP connues.
  • Accès distant aux backups en cas d’incident : pouvoir se connecter en urgence à votre serveur de backup depuis un VPN d’entreprise à IP fixe simplifie le rétablissement.

Pour vérifier l’IP de votre serveur de backup ou de votre VPN, notre outil pour trouver l’IP d’un site internet donne ces informations immédiatement.

Séparer l’IP de production et l’IP de backup

Stocker les sauvegardes sur le même serveur que la production est l’erreur la plus fréquente : en cas de ransomware ou de compromission, les deux sont perdus en même temps.

Bonne pratique : utiliser un serveur de backup distinct, idéalement chez un autre hébergeur, avec une IP différente. La connectivité se fait via une connexion authentifiée (SSH, S3 API, rsync), et l’IP du serveur de production figure en whitelist côté serveur de backup. Si la production est compromise, l’attaquant ne peut pas pivoter vers le backup sans clé d’authentification.

Sauvegardes immutables : la défense anti-ransomware

Les ransomwares modernes cherchent activement à chiffrer les sauvegardes pour empêcher la restauration. Quatre approches pour s’en protéger :

  • Sauvegardes immutables : impossible à modifier ou supprimer pendant une durée fixée (S3 Object Lock, Backblaze, Wasabi).
  • Sauvegardes hors ligne : un disque externe physiquement déconnecté après chaque cycle.
  • Comptes d’authentification distincts : les credentials du serveur de prod n’ont PAS le droit d’écrire sur les backups (seul un compte tiers le fait, ou un démon hors du domaine de la prod).
  • Validation par hash : avant chaque restauration, vérifier l’intégrité des fichiers (un ransomware silencieux peut chiffrer puis attendre).

Solutions cloud : S3, Wasabi, Backblaze B2, OVH Cloud Archive

Pour la copie hors site, le stockage objet cloud est souvent le meilleur compromis prix/fiabilité :

  • AWS S3 : référence, mais cher à l’usage. À retenir pour les besoins très volumineux et critiques.
  • Wasabi : compatible S3, sans frais de sortie, environ 1/4 du prix de S3.
  • Backblaze B2 : très bon marché, simple, compatible S3.
  • OVH Cloud Archive : pour qui veut rester chez un hébergeur français.

Pour vérifier dans quel pays se trouve physiquement le stockage (important pour la souveraineté et le RGPD), regarder l’IP des endpoints utilisés via notre outil trouver l’IP d’un site peut donner un indice — mais la localisation déclarée par le fournisseur reste l’information de référence.

Fréquence de sauvegarde et RPO/RTO

Deux notions à fixer avant de choisir une solution :

  • RPO (Recovery Point Objective) : combien de données peut-on accepter de perdre ? 1 heure ? 1 jour ? 1 semaine ?
  • RTO (Recovery Time Objective) : combien de temps acceptable pour restaurer ? Quelques minutes ? Quelques heures ? Un jour ?

Un e-commerce a typiquement un RPO de quelques heures (chaque commande perdue est facturée à perte) et un RTO de moins de 4 h (chaque heure d’arrêt = perte de revenus directs). Un site vitrine peut tolérer un RPO journalier et un RTO de 24 h. Ces objectifs déterminent la fréquence des sauvegardes et le budget infrastructure à prévoir.

Tester les restaurations : indispensable

Une sauvegarde non testée est une fausse sauvegarde. La règle : tester une restauration au moins tous les trimestres, sur un environnement isolé. Sans ce test, on découvre les problèmes le jour de l’incident (clés perdues, fichiers corrompus, dépendances manquantes).

L’environnement de test doit pouvoir être joint depuis votre IP admin (whitelist côté serveur de test) et idéalement avoir une IP distincte de la production, pour éviter les confusions.

Plan de sauvegarde pour une PME

  • Sauvegarde quotidienne automatique de la base de données et des fichiers.
  • Réplication horaire vers un stockage cloud objet (S3-compatible).
  • Réplication hebdomadaire vers un disque externe physique hors site.
  • Whitelist d’IP stricte sur les endpoints de backup (seules les IP autorisées peuvent écrire).
  • Test de restauration trimestriel sur un environnement isolé.
  • Documentation des credentials et procédures dans un coffre-fort externe.

Coût mensuel typique : 50-200 € pour une PME de 10-50 personnes, en fonction du volume.

FAQ : sauvegarde des données entreprise

Faut-il chiffrer les sauvegardes ?

Oui systématiquement, surtout les sauvegardes hors site. AES-256 en standard. Les clés doivent être stockées séparément des sauvegardes (sinon le bénéfice est nul).

Un NAS local suffit-il comme sauvegarde ?

Non, c’est seulement une couche. Un incendie, un vol ou un cryptolocker qui se propage en réseau peut détruire le NAS en même temps que la prod. Il faut au moins une copie hors site (cloud, second NAS chez un partenaire).

Quel logiciel de sauvegarde choisir ?

Veeam (référence entreprise, payant), Restic (open source, excellent, scriptable), Borg (open source, déduplication forte), Synology Hyper Backup (pour les NAS Synology). Pour une PME, Restic + Wasabi/B2 couvre la majorité des besoins pour un coût marginal.

L’IP fixe est-elle obligatoire pour faire des backups distants ?

Non, on peut faire sans en utilisant un DNS dynamique ou un VPN. Mais une IP fixe simplifie considérablement la whitelist, la gestion des règles WAF et le diagnostic en cas de problème.

4.9/5 - (44 votes)

À lire aussi sur le blog

Autres articles qui pourraient vous intéresser

masquer ip
19 août 2020

Comment changer son adresse IP et surfer anonymement ?

Internet est un outil formidable, une véritable fenêtre ouverte sur le monde. Les possibilités y sont infinies. Mais, la navigation laisse des…

Lire l'article
Cybersécurité
13 février 2023

Cybersécurité par l’analyse d’IP : détecter, bloquer, investiguer

La cybersécurité est un domaine qui a pris de l'importance ces dernières années en raison de l'augmentation du nombre de menaces en…

Lire l'article
4 avril 2026

Protéger son site contre les DDoS : analyse IP, Cloudflare et géoblocage

Découvrez comment protéger votre site web contre une attaque DDoS avec pare-feu, hébergement adapté et bonnes pratiques de cybersécurité.

Lire l'article
Tous les articles du blog
Copyright © 2026 Trouver IP — Tous droits réservés