Sécurité TPE

La règle 3-2-1 expliquée simplement pour une petite entreprise

La règle 3-2-1 revient souvent lorsqu'une petite entreprise commence à mieux structurer ses sauvegardes. Le principe est connu, mais il reste parfois abstrait : faut-il vraiment trois copies ? Quels supports utiliser ? Le cloud compte-t-il comme une copie hors site ? Ce guide explique la règle 3-2-1 de façon claire, concrète et adaptée aux réalités d'une TPE.

1. Qu'est-ce que la règle 3-2-1 ?

3

copies des données

Les données d'origine + deux sauvegardes distinctes

2

types de supports

Par exemple : un NAS et du cloud, ou un disque externe et du cloud

1

copie hors site

Au moins une copie séparée physiquement du site principal

L'objectif n'est pas de compliquer inutilement la sauvegarde, mais de réduire les points de défaillance uniques. Concrètement, cela veut dire que l'entreprise ne doit pas se contenter d'un seul emplacement de stockage, d'une seule copie, ou d'un support exposé au même incident que les données d'origine.

2. Pourquoi cette règle reste utile

La règle 3-2-1 reste utile parce qu'elle répond à des problèmes très concrets :

Panne matérielle
Erreur humaine
Suppression accidentelle
Ransomware
Vol
Incendie
Incident local sur le site de l'entreprise

La CISA rappelle qu'il est important de conserver des sauvegardes hors ligne et de les tester régulièrement, car de nombreux ransomwares cherchent à supprimer ou chiffrer les sauvegardes accessibles. Si toutes les copies sont au même endroit, sur le même support ou toujours connectées, la sauvegarde peut échouer au moment où l'entreprise en a le plus besoin.

3. Les trois chiffres expliqués concrètement

3

Que signifie "3 copies" dans la pratique ?

Quand on parle de 3 copies, cela signifie généralement : les données d'origine, une première sauvegarde, et une deuxième sauvegarde. Pour une petite entreprise, cela peut se traduire simplement par :

  • les données sur l'ordinateur ou le serveur principal
  • une copie sur un support local
  • une copie dans le cloud ou sur un site distinct

Il ne s'agit pas seulement de dupliquer deux fois au même endroit, mais de créer une vraie redondance utile.

2

Que signifie "2 supports différents" ?

Le chiffre 2 rappelle qu'il vaut mieux ne pas dépendre d'un seul type de support. Dans une petite entreprise, cela peut vouloir dire :

  • un NAS + du cloud
  • un disque externe + du cloud
  • un serveur local + un stockage distant

Si un type de support tombe en panne, est inaccessible ou est compromis, l'autre peut rester exploitable.

1

Que signifie "1 copie hors site" ?

Le 1 de la règle 3-2-1 est souvent le plus important : il faut qu'au moins une copie soit hors site, c'est-à-dire séparée physiquement du lieu principal. Cette copie peut être :

  • dans le cloud
  • dans un autre site
  • sur un support déplacé et stocké ailleurs
  • ou sur une sauvegarde réellement isolée du site principal

Pour une TPE, la copie hors site est souvent celle qui fait la différence entre une gêne temporaire et une vraie catastrophe.

4. Le cloud suffit-il pour respecter le 3-2-1 ?

Pas forcément à lui seul. Le cloud peut parfaitement compter comme copie hors site, mais encore faut-il :

qu'il s'agisse d'une vraie sauvegarde
que la restauration soit possible
que ce ne soit pas simplement une synchronisation
et que l'entreprise conserve une logique de redondance cohérente

Il ne faut pas confondre cloud backup et cloud sync. Une synchronisation seule ne remplit pas forcément le rôle d'une vraie sauvegarde. Dans beaucoup de petites entreprises, le cloud joue très bien le rôle du "1 hors site", mais il ne remplace pas automatiquement toute réflexion sur le reste.

5. Comment appliquer la règle 3-2-1 dans une TPE sans se compliquer la vie

Une petite entreprise n'a pas besoin d'une architecture très lourde pour appliquer la logique 3-2-1.

Exemple simple

  • 1
    Les données de travail sur les postes ou le serveur principal
  • 2
    Une copie sur un NAS ou un disque externe local
  • 3
    Une copie supplémentaire dans le cloud

Variante possible

  • 1
    Données d'origine sur les postes
  • 2
    Backup cloud automatisé
  • 3
    Export ou copie supplémentaire sur support local déconnecté selon les besoins

L'objectif n'est pas d'être "parfait sur le papier", mais de mettre en place une combinaison réaliste, compréhensible et maintenable.

6. Les erreurs les plus fréquentes

La règle 3-2-1 est simple, mais elle est souvent mal appliquée.

Penser qu'un seul disque externe suffit

Ce n'est pas une stratégie complète si ce disque reste exposé au même risque que les données d'origine.

Confondre synchronisation et sauvegarde

Une synchronisation peut répliquer une erreur ou une suppression. Ce n'est pas toujours une vraie sauvegarde.

Laisser toutes les copies connectées en permanence

La CISA recommande explicitement des sauvegardes offline ou isolées pour résister aux ransomwares.

Ne jamais tester la restauration

NIST insiste sur le fait de maintenir et tester les sauvegardes pour limiter l'impact d'un incident.

Appliquer la règle de façon trop théorique

Le but n'est pas de cocher une case, mais d'assurer une vraie capacité de récupération.

7. La règle 3-2-1 est-elle toujours suffisante ?

La règle 3-2-1 reste une base très solide, mais elle n'est pas magique. Elle doit s'accompagner de :

sauvegardes régulières
vérification du bon déroulement
tests de restauration
clarification des données prioritaires
et d'une réflexion sur les délais de reprise

La CISA et NIST insistent justement sur la nécessité de tester la disponibilité, l'intégrité et la récupération des sauvegardes. Autrement dit : 3-2-1 est un excellent socle, mais ce n'est pas un substitut à une vraie discipline de sauvegarde.

8. Une version très simple de la règle pour une petite entreprise

Pour résumer très simplement :

1
Ne gardez pas une seule copie
2
Ne mettez pas toutes les copies au même endroit
3
Gardez au moins une copie hors site
4
Testez régulièrement que la restauration fonctionne

C'est souvent largement suffisant comme point de départ pour une TPE.

9. Les solutions souvent pertinentes à comparer

Pour appliquer cette logique, une petite entreprise peut s'orienter vers plusieurs approches ou solutions :

Acronis Cyber Protect

Solution complète combinant sauvegarde et protection cyber, adaptée aux petites structures qui cherchent une approche intégrée.

En savoir plus

Backblaze Business Backup

Option simple et accessible, très orientée cloud, avec une automatisation facile à mettre en place.

En savoir plus

MSP360

Solution modulaire souvent pertinente pour les structures qui souhaitent choisir leur propre stockage cloud.

En savoir plus

NAS local + copie cloud

Approche hybride classique : un NAS pour la rapidité locale, complété par une copie cloud pour la résilience.

En savoir plus

10. Notre approche sur Sécurité TPE

Sur Sécurité TPE, nous privilégions une approche orientée petites structures. L'objectif n'est pas de transformer la sauvegarde en projet complexe, mais d'aider les entreprises à construire une stratégie :

  • simple à mettre en place et à maintenir
  • cohérente avec les réalités d'une petite structure
  • réellement restaurable en cas d'incident
  • compatible avec leurs moyens et leur organisation

11. Les bons contenus pour aller plus loin

Une fois la logique 3-2-1 comprise, le plus utile est de réfléchir à la combinaison de supports et d'outils la plus adaptée à votre activité.

Sauvegarde informatique pour TPE : guide complet

Consulter

Sauvegarde cloud ou locale pour petite entreprise

Consulter

Acronis vs Backblaze Business

Consulter

Avis Acronis Cyber Protect

Consulter

12. Questions fréquentes

Mettre en place une stratégie de sauvegarde plus solide

Consultez nos comparatifs et avis détaillés pour identifier les outils et approches les plus cohérents avec vos données, vos usages et votre niveau de besoin.

Voir les comparatifsDécouvrir les avis