☁️ SwissFarms
Sauvegarde et plan de reprise : ce que votre PME doit tester avant d'en avoir besoin
CT
Vous avez des sauvegardes. Probablement. Mais une sauvegarde que vous n'avez jamais testée n'est pas une protection — c'est une hypothèse que vous vérifierez le pire jour possible.
23/06/2026
10:10
Une sauvegarde n'est pas un plan de reprise
Il existe une confusion fréquente entre deux notions distinctes : la sauvegarde et le plan de reprise d'activité. La sauvegarde, c'est la copie de vos données. Le plan de reprise, c'est votre capacité à redémarrer votre activité après un incident — dans un délai défini, avec une perte de données maîtrisée. Avoir des sauvegardes ne suffit pas. La vraie question est : combien de temps vous faut-il pour redémarrer après un sinistre — panne matérielle, ransomware, incendie, erreur humaine ? Et combien de données pouvez-vous vous permettre de perdre ? Ces deux questions ont des noms techniques : le RTO (Recovery Time Objective — le temps de redémarrage acceptable) et le RPO (Recovery Point Objective — la quantité de données que vous pouvez perdre). La plupart des PME que nous auditons n'ont jamais défini ni l'un ni l'autre. Elles découvrent leur RTO réel le jour de l'incident — et il est presque toujours bien plus long que ce qu'elles auraient pu supporter.
Ce qu'on observe dans les PME et communes romandes
Dans une PME de négoce de 40 collaborateurs, les sauvegardes tournaient automatiquement chaque nuit sur un disque réseau. Tout semblait en ordre. Lors de notre test de restauration, nous avons découvert que les sauvegardes échouaient silencieusement depuis 7 mois — le disque était plein. Personne n'avait vérifié les logs. La dernière sauvegarde exploitable datait de l'automne précédent. Dans une commune vaudoise, les sauvegardes étaient stockées sur un serveur situé dans le même local technique que les serveurs de production. Un dégât des eaux, un incendie, ou un ransomware se propageant sur le réseau aurait détruit les données ET leur sauvegarde simultanément. La règle de l'isolation n'était pas respectée. La nLPD impose la disponibilité des données personnelles comme l'un des objectifs de protection. Une perte de données définitive suite à un incident, faute de sauvegarde restaurable, constitue un manquement documentable. Par ailleurs, l'obligation de notification en cas de violation s'applique aussi aux pertes de disponibilité — pas seulement aux fuites.
Les 3 points à corriger en priorité
1. La règle 3-2-1 n'est pas appliquée La règle de référence est simple : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. La majorité des PME que nous auditons ont une seule copie, sur un seul support, dans le même bâtiment que les données d'origine. Un seul incident physique détruit tout. L'isolation d'au moins une copie — hors site ou dans le cloud, déconnectée du réseau principal — est la mesure fondamentale. 2. Les sauvegardes ne sont jamais testées Une sauvegarde qui n'a jamais été restaurée est une hypothèse, pas une protection. Les échecs silencieux sont fréquents : disque plein, processus interrompu, fichiers corrompus, droits d'accès modifiés. Sans test de restauration régulier — au minimum trimestriel — vous ne savez pas si vos sauvegardes sont exploitables. 3. Aucun RTO ni RPO défini Sans objectif de temps de reprise et de point de reprise définis, vous ne pouvez pas dimensionner votre solution de sauvegarde correctement. Combien d'heures d'interruption votre activité peut-elle supporter ? Combien de données pouvez-vous perdre ? Ces réponses déterminent toute votre architecture de sauvegarde — et elles doivent être des décisions de direction, pas des paramètres techniques par défaut.
L'approche Computis : tester la reprise, pas seulement la sauvegarde
La sauvegarde et le plan de reprise ne sont pas des sujets techniques réservés aux grandes entreprises. Ce sont des décisions de continuité d'activité qui concernent toute organisation — et qui se dimensionnent à la taille de votre structure. Chez Computis, notre approche fonctionne en trois temps. D'abord, un audit préliminaire : état des sauvegardes existantes, test de restauration réel, vérification de l'isolation, analyse des logs. Ensuite, la définition des objectifs : RTO et RPO décidés avec la direction, en fonction de la réalité de votre activité. Enfin, la mise en place : architecture 3-2-1, automatisation, alertes en cas d'échec, et — surtout — tests de restauration planifiés et documentés.
60% des PME sans plan de reprise testé ne reprennent jamais une activité normale après une perte majeure. Règle 3-2-1, RTO, RPO expliqués.
FAQ
Nos sauvegardes tournent automatiquement — ne sommes-nous pas protégés ?
Une sauvegarde automatique peut échouer silencieusement : disque plein, processus interrompu, fichiers corrompus. Sans test de restauration régulier, vous ne savez pas si elles sont exploitables. L'automatisation gère la copie — pas la garantie de pouvoir restaurer.
C'est quoi concrètement la règle 3-2-1 ?
Trois copies de vos données, sur deux types de supports différents, dont une copie conservée hors site. C'est la règle de référence de l'industrie. Elle garantit qu'aucun incident unique — physique ou logique — ne peut détruire simultanément vos données et toutes leurs sauvegardes.
La nLPD nous impose-t-elle d'avoir un plan de reprise ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Comment fonctionne l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : état des sauvegardes, test de restauration réel, vérification de l'isolation, définition des objectifs RTO/RPO, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous.
Sujets abordés
Sauvegarde
Plan de reprise
3-2-1
SwissFarms
nLPD
PME Suisse
Si un ransomware chiffrait vos données ce soir, combien de temps vous faudrait-il pour redémarrer ?
Chez Computis, nous réalisons un audit préliminaire de votre stratégie de sauvegarde et de reprise pour les PME et communes romandes sans équipe IT dédiée. Test de restauration réel, vérification d'isolation, définition RTO/RPO — rapport documenté. Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous. Cybersécurité, cloud ou réseau — un seul interlocuteur chez Computis.
