#sauvegarde #pra #infogerance #proxmox

Pourquoi je tiens à externaliser une copie de sauvegarde

Un snapshot n'est pas une sauvegarde. Une copie sur disque externe non plus. Pourquoi une vraie politique coûte un peu mais permet de repartir sereinement après un sinistre.

$ vzdump 200 --mode snapshotpbs-client backup vm/200# off-site copy[ ok ] restore tested SAUVEGARDE Pourquoi je tiens àexternaliser unecopie de sauvegarde leno-it.fr Hébergeur Proxmox · Partenaire officiel Proxmox

Il y a quelques années, un de mes premiers clients m’a appelé un lundi matin. Un serveur ne répondait plus. Pas grave en soi, on a déjà vu pire. Sauf qu’en regardant de plus près, c’était le NAS de l’entreprise. Et qu’en regardant encore plus près, c’était le NAS sur lequel ils stockaient leurs sauvegardes. Et qu’en regardant vraiment au fond, leurs sauvegardes étaient cryptées par un rançongiciel. Comme l’original. Et comme la copie sur le disque externe qu’un technicien zélé branchait tous les soirs sur le même NAS.

Trois copies. Trois copies inutilisables. Une boîte qui a frôlé la fermeture en quinze minutes.

Je raconte cette histoire pour une raison simple : j’ai vu, depuis, des dizaines d’entreprises convaincues d’avoir une stratégie de sauvegarde alors qu’elles n’avaient en réalité qu’un sentiment de sécurité. Et ce sentiment leur coûte beaucoup plus cher qu’une vraie politique.

Voici ce que j’ai retenu, et ce que j’explique aujourd’hui à chaque client qui démarre une relation avec LenoIT.

Un snapshot n’est pas une sauvegarde

Le snapshot est probablement le malentendu le plus répandu. Sur Proxmox VE, sur VMware, sur ZFS, sur n’importe quel hyperviseur ou système de fichiers moderne, on prend un snapshot en deux clics et on a l’impression d’être protégé. Ce n’est pas vrai.

Un snapshot, c’est un pointeur. Il vit dans le même système de stockage que la donnée d’origine. Si le SAN brûle, si le pool ZFS se corrompt, si le contrôleur RAID lâche, si un rançongiciel se promène avec les bons droits, le snapshot disparaît avec le reste. Il n’est utile que pour annuler une bêtise locale : une suppression accidentale, une mise à jour ratée, un fichier corrompu par erreur humaine. Il ne protège contre rien d’autre.

Un snapshot bien fait fait partie de la couche d’exploitation, pas de la couche de sauvegarde. Il accélère la restauration dans 80 % des cas, mais ce sont les 20 % restants qui font fermer une entreprise.

Une copie sur disque externe n’est pas une sauvegarde

L’erreur suivante, c’est le disque externe que quelqu’un branche le soir, ou le NAS qui « fait des sauvegardes la nuit ». Sur le papier, c’est mieux que rien. En pratique, ça coche trois cases sur quatre et c’est la quatrième qui compte.

Une vraie sauvegarde n’est pas définie par le support qui la porte. Elle est définie par quatre propriétés :

  • Isolée. Aucun chemin direct depuis l’environnement de production. Pas le même domaine d’authentification, pas la même clé SSH, pas le même réseau, pas le même contrôleur de stockage.
  • Versionnée. Plusieurs points de restauration dans le temps, pas juste « la version d’hier ». Si on découvre qu’un rançongiciel dort dans les fichiers depuis trois semaines, il faut pouvoir remonter à quatre semaines.
  • Hors site. Physiquement dans un autre lieu. Si le bâtiment brûle, si la salle est inondée, si la foudre tombe sur le rack, la copie hors site est intacte.
  • Testée. Quelqu’un, quelque part, a déjà restauré ces sauvegardes au moins une fois récemment. Et a vérifié que les données restaurées étaient cohérentes et exploitables.

Le disque externe sur le NAS coche les cases 1 et 2 si on est rigoureux. Il ne coche jamais 3 ni 4.

Une vraie politique, ça ressemble à quoi

La règle 3-2-1 sert de boussole depuis vingt ans. Trois copies au total, sur deux supports différents, dont une hors site. C’est le minimum. Pour une infrastructure professionnelle, j’ajoute toujours :

  • Une rotation suffisamment longue pour absorber les rançongiciels lents. Les attaquants modernes dorment plusieurs semaines dans les fichiers avant de chiffrer. Quatre semaines de rétention minimum, idéalement plus.
  • Un test de restauration mensuel. Pas un test « la sauvegarde finit en vert ». Un vrai test : on prend une machine de production, on la restaure dans un environnement isolé, on vérifie que les données sont là, que l’application démarre, que les utilisateurs pourraient travailler.
  • Une copie immuable. Soit via du stockage objet en mode worm (object lock), soit via une copie sur bande (LTO) qu’on retire physiquement après écriture. C’est la dernière ligne de défense quand tout le reste est compromis.

Sur Proxmox, l’implémentation concrète passe par Proxmox Backup Server. J’ai écrit un guide technique 3-2-1 avec PBS si vous voulez le détail opérationnel. Cet article-ci parle du « pourquoi », pas du « comment ».

Combien ça coûte vraiment

C’est l’objection que j’entends à chaque devis. « Pour 200 VMs, vous me parlez de plusieurs centaines d’euros par mois rien que pour le stockage de sauvegarde externalisé. C’est cher. »

C’est cher comparé à zéro. Ce n’est pas cher comparé au sinistre que ça évite.

Quelques chiffres, pas des miens, mais des études publiques :

  • Une attaque par rançongiciel coûte en moyenne 1,85 million de dollars en France selon le rapport Sophos 2024, en incluant downtime, perte d’opportunité commerciale, frais de remédiation et reconstruction.
  • 60 % des PME victimes d’une attaque sévère cessent leur activité dans les six mois (US National Cyber Security Alliance, chiffre repris partout en Europe).
  • Le coût d’une vraie politique de sauvegarde externalisée pour une PME de 50 à 200 utilisateurs se chiffre en milliers d’euros par an, pas en dizaines de milliers.

Le ratio est de plusieurs ordres de grandeur en faveur de la sauvegarde. Ce n’est pas une question de budget, c’est une question de priorité dans le budget. Je vois passer des entreprises qui dépensent dix mille euros par an en abonnements SaaS bureautique et qui hésitent à mettre deux mille euros par an dans la seule chose qui les fait survivre à un incident grave.

Ce que je recommande, concrètement

Pour les clients qui me font confiance pour leur stratégie, voici la ligne directrice :

  1. Sauvegarde locale rapide, sur un Proxmox Backup Server dédié dans le même site que la production. Pour les restaurations de routine, c’est ce qui sauve la journée.
  2. Sauvegarde externalisée vers un PBS distant, dans un datacenter européen, avec rétention de quatre semaines minimum. C’est ce qui vous sauve quand le site principal disparaît.
  3. Copie immuable mensuelle sur stockage objet worm ou sur bande LTO selon le volume. C’est la dernière ligne, celle qu’on espère ne jamais utiliser.
  4. Test de restauration trimestriel a minima, avec procès-verbal écrit. C’est la seule façon de transformer une sauvegarde en assurance.

Cette politique coûte un peu d’argent. Elle est aussi la raison pour laquelle, le lundi matin, on n’appelle pas son avocat avant son administrateur système.

Si vous voulez qu’on s’en occupe, j’ai monté pour cette raison précise une plateforme SaaS de Proxmox Backup Server managé : Cloud-PBS. C’est la version opérationnelle, prête à l’emploi, de la politique décrite ci-dessus. Sinon, on peut aussi auditer votre stratégie actuelle dans le cadre de notre offre d’infogérance Proxmox et vous accompagner pour mettre la bonne en place. Dans les deux cas, le départ commence par 30 minutes d’échange.