Ce qui différencie les sauvegardes Air-gap des sauvegardes inaltérables

Emilee Tellez

2 years ago

L’essentiel à retenir :

Les attaques par ransomware ciblent de plus en plus les cibles de sauvegarde, rendant les stratégies de protection des données plus cruciales que jamais.
Les sauvegardes Air-gap isolent physiquement ou logiquement les données des réseaux, empêchant ainsi toute altération à distance par des attaquants.
sauvegardes inaltérables empêchent toute altération ou suppression des données de sauvegarde pendant une période définie.
Air-gap sauvegardes offrent une isolation maximale, mais la restauration peut être plus lente ; sauvegardes inaltérables permettent une restauration plus rapide grâce à une accessibilité continue. La combinaison des deux méthodes renforce la protection.
Data Cloud Vault de Veeam offre un stockage cloud géré, inaltérable et Air-gap logique, conçu pour la cyber-résilience.
Les tests réguliers des sauvegardes, le contrôle d’accès (MFA, séparation des rôles) et la supervision avec Veeam ONE renforcent l’état de préparation à la restauration des données.
Pour assurer une cyber-résilience complète, les entreprises doivent également se pencher sur la réduction des accès, les besoins de conformité et les tests d’intégrité des sauvegardes.

Selon le rapport Risk to résilience: 2025 ransomware Trends and Proactive Strategies, sur les 1 300 victimes de ransomware interrogées, 89 % ont vu leurs dépôts de sauvegarde pris pour cible. Alors que près de la moitié des organisations ont payé la rançon, 17 % d’entre elles ont déclaré qu’elles n’avaient pas pu récupérer leurs données, malgré avoir cédé aux exigences de l’attaquant.

Face à la montée des cybermenaces, il n’est pas surprenant que de nombreuses sociétés adoptent des technologies de sauvegarde inaltérable ou Air-gap (c.-à-d. stockage résilient) afin de s’assurer que leurs efforts de restauration des données ne soient pas entravés par un ransomware et qu’elles puissent reprendre une activité minimale viable.

Ce blog explore les différences entre les technologies Air-gap et de sauvegarde inaltérable, et la manière dont les organisations peuvent tirer parti des deux dans leur stratégie de cyber-résilience.

Pourquoi les sauvegardes air gap sont importantes aujourd’hui

Une sauvegarde Air-gap isole vos données stratégiques en les séparant du réseau, soit en retirant physiquement le disque, en déconnectant les ports réseau, ou en utilisant des méthodes numériques pour bloquer le trafic réseau.

Les atouts des sauvegardes entièrement isolées sont les suivants :

Protection contre les ransomwares et les logiciels malveillants. Puisque ces sauvegardes ne sont pas accessibles depuis le serveur de sauvegarde ou ailleurs sur le réseau, il est plus difficile pour les attaquants d’y accéder ou de les corrompre. Un attaquant doit être physiquement présent et disposer des informations d’identification nécessaires pour supprimer les données. Si les sauvegardes sont correctement éjectées/isolées et soigneusement entretenues (température contrôlée, saleté/poussière, humidité, etc.), les chances d’échec de la restauration sont faibles.

Prévention des accès non autorisés et des violations de données. Il est conforme aux meilleures pratiques que les sauvegardes Air-gap bénéficient d’une protection supplémentaire sous forme de chiffrement. Cette approche garantit que si un attaquant accède à vos sauvegardes, il ne pourra pas les restaurer ni en consulter le contenu. Comparez cela à un scénario dans lequel vous disposez d’une sauvegarde locale de votre contrôleur de domaine sans chiffrement, et où un acteur malveillant restaure votre sauvegarde sur son serveur. Ils peuvent désormais exploiter tranquillement vos informations d’identification afin de préparer une attaque contre vos systèmes de production.
Le chiffrement des sauvegardes (en particulier celles qui se trouvent hors site) est essentiel pour empêcher des utilisateurs non autorisés d’accéder aux données sensibles de la Société.

Préservation de l’intégrité des données. Le contenu de la sauvegarde reste inchangé, assurant ainsi la précision et la cohérence indispensables à la conformité réglementaire et à la fiabilité de la restauration. Pour les établissements de santé, l’administration publique et les finances, la conservation de divers types de données à long terme peut s’étendre de plusieurs années à une durée indéterminée. Dans certains cas, ils exigent également le maintien d’une chaîne de traçabilité sécurisée. Le non-respect des réglementations sectorielles peut entraîner de lourdes amendes et porter gravement atteinte à votre image de marque.

La puissance des sauvegardes inaltérables dans la cybersécurité moderne

Une sauvegarde inaltérable est une copie de données dotée de contrôles d’accès en fonction du rôle et d’autres authentifications, et qui ne peut être ni modifiée ni supprimée avant la fin d’une période définie. Cependant, contrairement à une sauvegarde Air-gap, elle n’est pas hors ligne, car elle est stockée sur un périphérique accessible via Internet ou un réseau. De nombreux fournisseurs de technologies tirent parti de ce type de sauvegardes, que ce soit sur site ou dans le cloud, via des fonctionnalités telles que le verrouillage d’objets, les snapshots sécurisés et la cible renforcée de Veeam.

Types courants de fonctionnalités d’inaltérabilité et leurs avantages :

Verrouillage d’objet (stockage cloud)	Empêche la modification ou la suppression des objets de sauvegarde pendant une période de rétention définie. Pris en charge par les principaux fournisseurs de cloud, comme AWS S3 avec verrouillage d’objets S3 et le stockage Blob inaltérable Azure. Maintient la conformité réglementaire en préservant l’intégrité des données dans le cloud.
Instantanés sécurisés	Crée des snapshot en lecture seule du stockage de données à un instant précis. Option de restauration rapide permettant de remettre les systèmes à un état sain avant une attaque. Idéal pour se protéger contre le chiffrement par les ransomware et les modifications involontaires des données.
Cible renforcée Veeam	Une cible de sauvegarde inaltérable basée sur Linux qui verrouille les données au niveau du système de fichiers. Protège les sauvegardes contre le chiffrement, la suppression ou la modification par des ransomwares ou des initiés malveillants. Exige une Multi-Factor Authentication (MFA) et empêche l’utilisation de comptes root pour altérer les fichiers de sauvegarde.
WORM (Write Once, Read Many, écriture unique, lectures multiples) (support de stockage)	Méthode traditionnelle utilisée dans le stockage physique, par exemple les bandes. Garantit que les données écrites ne peuvent pas être modifiées, ce qui est idéal pour les besoins d’archivage à long terme et la conformité réglementaire.

L’inaltérabilité contribue à protéger contre les attaques par ransomware et les menaces internes, en empêchant les parties non autorisées de modifier ou de chiffrer les données dans les sauvegardes. Même si un attaquant parvient à accéder physiquement à une sauvegarde inaltérable, les dommages qu’il peut infliger sont limités.

Sauvegardes Air-gap vs. sauvegardes inaltérables : quelles sont les principales différences ?

Les sauvegardes Air-gap et inaltérables renforcent toutes deux votre cyber-résilience, mais elles ne sont pas identiques. Comprendre leurs fonctionnalités distinctes est essentiel pour élaborer une stratégie efficace de protection des données au sein de votre organisation.

De manière générale, les deux approches protègent les données contre les ransomware, les logiciels malveillants et les menaces internes, tout en soutenant la conformité réglementaire. Mais la manière dont elles protègent — et la rapidité avec laquelle vous pouvez restaurer les données — diffère considérablement.

Les deux types de sauvegarde offrent une résistance aux ransomwares et assurent la conformité des données, mais c’est là que les différences apparaissent.

Une sauvegarde traditionnelle à Air-gap (bande, par exemple) peut entraîner un coût supplémentaire de gestion du support et la collaboration avec des fournisseurs pour stocker le support correctement. Ce constat s’applique également au stockage inaltérable, car la croissance peut être exponentielle si les stratégies relatives aux données changent.

Les objectifs de temps de restauration (RTO) sont également variables en fonction du support de stockage utilisé. Par exemple, une entreprise située dans une région éloignée avec des connexions réseau lentes ou des données limitées pourrait trouver que la restauration des données à partir d’une sauvegarde cloud est trop lente par rapport à ses besoins. Dans ce cas, le stockage de bandes sur site offre une solution économique et rapide pour restaurer après une attaque par ransomware. Les sauvegardes hors site/cloud constituent une dernière ligne de défense.

fonctionnalité	Sauvegarde Air-gap	sauvegarde inaltérable
Accès	Complètement hors ligne ou isolé ; aucun accès au réseau	Toujours en ligne mais protégé contre toute modification
Modification/Suppression	Déconnecté physiquement et inaccessible à distance	Les données ne peuvent être ni modifiées ni supprimées jusqu’à l’expiration de la période de rétention.
Médias courants	Bandes, lecteurs hors ligne, stockages déconnectés	Stockage objet dans le cloud (verrouillage d’objets S3), cible renforcée Veeam, snapshots sécurisés
Coûts	Coûts opérationnels plus élevés (traitement des supports, stockage par le fournisseur)	S’adapte à l’augmentation des données ; coûts d’exploitation généralement réduits.
Temps de restauration (RTO)	Temps de récupération allongé, surtout si les supports sont hors site	Restauration plus rapide ; accès immédiat aux données de sauvegarde
Mieux pour	Isolation maximale, conformité et rétention à long terme	Restauration rapide, protection anti-ransomware et sauvegardes fréquentes
Point faible	La logistique physique peut ralentir la restauration	Toujours accessible via le réseau ; risque en cas de faiblesse des contrôles

Chez Veeam, nous ne considérons pas les sauvegardes entièrement isolées et les sauvegardes inaltérables comme des solutions qui s’excluent mutuellement. Elles se complètent.

En associant l’isolation physique des sauvegardes Air-gap à la restauration rapide et aux protections infalsifiables de l’inaltérabilité, les entreprises peuvent :

Renforcer les défenses contre les cybermenaces et les menaces physiques
Respecter diverses politiques de conformité et stratégies de rétention
Réduire les temps d’arrêt tout en garantissant l’intégrité des données

Et avec des solutions comme Veeam Data Cloud Vault, les clients bénéficient d’un stockage cloud géré, à la fois inaltérable et avec une isolation logique intégrale, offrant une restauration flexible avec une sécurité robuste, sans aucun compromis.

Exemple concret : GORI – Défis commerciaux des infrastructures critiques

Société :	Défi :	Résultats :
Chez GORI, 1 000 employés travaillent chaque jour pour distribuer de l’eau aux 1,5 million de citoyens vivant dans 75 municipalités situées entre les provinces italiennes de Naples et de Salerne.	En tant que fournisseur d’infrastructures nationales essentielles, le GORI doit s’assurer que ses systèmes numériques sont bien protégés contre les cybermenaces. Face aux risques de ransomware, la Société vise à renforcer ses fonctionnalités de protection des données en créant des sauvegardes hors site inaltérables.	Le risque d’attaques par ransomware est atténué grâce à des sauvegardes cloud inaltérables La conformité réglementaire est facilitée par le respect de la règle de sauvegarde 3-2-1-1-0 Continuité d’activité renforcée avec un RTO réduit

GORI, une société européenne de distribution d’eau, a adopté Veeam dans le cadre d’un plan global visant à renforcer sa capacité à restaurer ses données après des cyberincidents. GORI disposait déjà d’une stratégie de sauvegarde, mais trouvait que sa gestion était fastidieuse. La Société est passée à Veeam Data Cloud Vault, une solution de stockage cloud préconfigurée et entièrement gérée. Il offre une protection immuable et une protection Air-gap logique pour les sauvegardes.

Veeam Data Cloud permet à GORI de restaurer ses systèmes sur site et Microsoft 365 plus rapidement que sa solution de sauvegarde précédente. Elle facilite également la conformité réglementaire grâce à l’utilisation de la règle de sauvegarde 3-2-1-1-0. La Société bénéficie d’une résilience accrue et de RTOs améliorés.

Avec Veeam, les clients peuvent concevoir une stratégie de résilience des données qui leur convient. Le choix entre Air-gap et l’inaltérabilité n’est pas une opposition : il n’y a pas à choisir l’un ou l’autre. De même que les réplicas de VM ne sont pas des sauvegardes et vice versa, les sauvegardes Air-gap ne sont pas nécessairement des sauvegardes inaltérables. Les deux technologies permettent aux organisations de protéger et de restaurer leurs données plus rapidement. Les exploiter conjointement augmente les chances de réussite de la restauration après un cyber-événement.

Quels sont les principaux éléments des stratégies de cyber-résilience ?

Garantir la survie des cibles de sauvegarde

Depuis des décennies, le stockage « Air-gap » constitue une pierre angulaire de la protection des données, notamment via des supports WORM (Write Once, Read Many) comme les bandes ou les disques durs rotatifs. Une fois retirées et stockées hors site, ces sauvegardes restent à l’abri des menaces réseau. Aujourd’hui, le stockage avec Air-gap est souvent complété par des solutions cloud hybride, même si certains secteurs reposent encore sur l’isolation physique.

L’inaltérabilité s’est imposée comme alternative moderne. Elle offre une protection de type WORM sans manipulation physique des supports, fournissant des sauvegardes verrouillées qui ne peuvent être modifiées ni supprimées pendant une période de rétention définie. À la différence des Air-gap (sauvegardes à séparation physique), les sauvegardes inaltérables restent en ligne mais sont protégées contre toute modification.
Pour mettre en place une stratégie cyber-résiliente, il convient de tirer parti des deux méthodes lorsque cela est approprié : associer le stockage à Air-gap pour une protection approfondie aux sauvegardes inaltérables pour des options de restauration plus rapides.
Il demeure une des meilleures pratiques de suivre la règle du 3-2-1
- 3 copies de vos données
- 2 types de supports
- 1 copie conservée hors site
Dans les déploiements Veeam classiques :
- Copie 1 : Données de production (disque)
- Copie 2 : cible de sauvegarde locale (disque)
- Copie 3 : Sauvegarde hors site (sur disque, dans le cloud ou sur bande)
De nombreuses entreprises ont adopté la règle du 3-2-1-1-0, en ajoutant :
- 1 sauvegarde inaltérable ou entièrement isolée
- 0 erreurs, vérifiées par des tests et une validation

La version moderne des sauvegardes hors site implique souvent l’utilisation du stockage cloud et la conservation des données dans différents datacenters. Cette stratégie de sauvegarde est particulièrement utile, car elle protège contre les incidents locaux, tels que les vols ou les incendies, et les catastrophes naturelles généralisées. Une inondation ou un tremblement de terre causant des dommages considérables à une ville entière pourrait anéantir les sauvegardes stockées dans les locaux de votre entreprise, mais il est peu probable que cela ait une incidence sur la copie stockée dans un datacenter Google, Microsoft ou Amazon situé à plusieurs centaines de kilomètres.
À cet effet, Veeam Data Cloud Vault fournit un stockage cloud conforme au principe 3-2-1-1-0. Les sauvegardes sont toujours conservées en état WORM, chiffrées par défaut et prêtes pour une restauration rapide.

Réduire les possibilités d’accès

Commencez avec des contrôles d’accès robustes sur votre environnement de production. Vous pouvez utiliser Veeam ONE™ pour surveiller l’environnement de production afin de détecter toute activité suspecte et générer des rapports pour protéger vos workloads et disposer de sauvegardes inaltérables et chiffrées.
Ensuite, définissez les rôles des comptes utilisateurs avec une séparation des tâches appropriée afin que seules les personnes concernées puissent travailler avec vos sauvegardes. Mettez en place l’autorisation à « quatre yeux » afin de garantir que l’approbation ou la vérification par au moins deux personnes autorisées soit requise pour les actions clés.
Activez la Multi-Factor Authentication (MFA) sur votre serveur de sauvegarde Veeam afin d’empêcher des acteurs malveillants d’y accéder, même si les informations d’identification d’un employé sont compromises.

Utilisez une cible inaltérable comme première couche de sauvegarde. Cela garantit que, même en cas de bug, d’infection par un ransomware ou de suppression accidentelle, vous disposez d’un point de restauration fiable.
Votre troisième copie de données doit rester hors site, chiffrée et idéalement hors ligne ou entièrement isolée. Cela ne concerne pas uniquement la reprise après incident. Il répond également aux préoccupations relatives à l’intégrité des données, aux mesures de gel juridique et à la conformité aux réglementations sur la rétention des données.

Pour les sauvegardes cloud, veillez à ce que votre fournisseur soit en adéquation avec les exigences réglementaires propres à votre secteur d’activité. Certains secteurs requièrent des services cloud conformes et sécurisés plutôt que des clouds publics génériques, notamment en ce qui concerne le chiffrement, le contrôle d’accès et les fonctionnalités d’audit.

Mises à jour et tests réguliers

Une sauvegarde n’est d’aucune utilité si vous n’êtes pas en mesure de la restaurer. C’est pourquoi il est essentiel de maintenir votre logiciel de sauvegarde et restauration à jour, tout en restant informé des dernières tendances en matière de sécurité et de reprise après incident.

Testez régulièrement vos processus de sauvegarde et de restauration. Simulez divers scénarios de catastrophe, comme des attaques de ransomware, des pannes de serveur ou des défaillances matérielles. Questions clés à poser :

Pouvez-vous procéder à la restauration de vos opérations rapidement ?
Vos sauvegardes capturent-elles toutes les données stratégiques et dépendances nécessaires au fonctionnement minimal de l’entreprise ?

Effectuez ces simulations périodiquement, et pas seulement une fois. Les changements organisationnels, les nouveaux systèmes ou les pratiques de l’informatique fantôme peuvent conduire à ce que certaines données soient négligées dans les plans de sauvegarde. Par exemple, les employés peuvent utiliser des outils non autorisés qui ne sont pas encore inclus dans les configurations de sauvegarde standard.

En validant fréquemment vos sauvegardes, vous assurez que votre couverture de restauration est complète et vous pouvez restaurer en toute confiance lorsqu’un incident réel survient.

Protégez vos données avec Veeam

Dans le rapport « Risk to Resilience Report », 69 % des 1 300 organisations interrogées ont été victimes d’une attaque par ransomware. Il révèle également que les entreprises ayant réagi le plus efficacement disposaient le plus souvent de plans de réponse aux ransomwares prévoyant :

des vérifications des sauvegardes et leur fréquence ;
des copies de sauvegarde et la vérification de leur intégrité ;
Plan de confinement ou d’isolement
des dispositions relatives à une infrastructure alternative ;
chaîne de commandement prédéfinie

Alors que les organisations cherchent à adopter des stratégies de protection des données plus cyber-résilientes, Veeam continue à établir des partenariats étroits avec des fournisseurs de matériel et de cloud pour faciliter l’adoption de cibles de sauvegarde inaltérables, de solutions Air-gap, ou, comme meilleures pratiques, des deux.

Notre logiciel offre l’immuabilité avec Microsoft Azure, la sauvegarde directe vers S3 avec immuabilité, des sauvegardes sur bande améliorées, ainsi que Veeam Data Cloud Vault, aidant les organisations à améliorer l’efficacité de leurs sauvegardes et à mieux se défendre contre l’impact des infections par ransomware.

Veeam Data Cloud Vault offre une intégration transparente au sein de l’écosystème Veeam, fournissant aux utilisateurs de la Veeam Data Platform une solution de stockage inaltérable accessible et sécurisée.

Constatez par vous-même la puissance de Veeam en regardant nos démonstrations de sauvegarde détaillées. Sinon, abonnez-vous à notre newsletter produits ci-dessous pour recevoir plus d’actualités sur nos solutions de sauvegarde et de restauration, ou contactez-nous pour savoir comment vous pouvez devenir partenaire de Veeam.

Foire aux questions

Qu’est-ce qu’une sauvegarde Air-gap?
Les sauvegardes Air-gap sont des copies de vos données totalement isolées de tout réseau. Elles peuvent être physiquement déconnectées ou isolées de façon logique. Cela signifie que les attaquants ne peuvent pas y accéder, les chiffrer ou les supprimer à distance, ce qui fait des sauvegardes Air-gap une dernière ligne de défense fiable contre les ransomwares et autres cybermenaces.
Comment les sauvegardes inaltérables se distinguent-elles des sauvegardes traditionnelles ?
Les sauvegardes inaltérables sont conçues de sorte qu’une fois les données écrites, elles ne peuvent pas être modifiées ou supprimées pendant une période déterminée. Contrairement aux sauvegardes traditionnelles, qui peuvent être modifiées si un système est compromis, l’inaltérabilité verrouille les données. Il vous offre un point de restauration sain et intouchable, même en cas d’attaque par ransomware.
Qu’est-ce que la règle de sauvegarde 3-2-1-1-0 ?
- C’est une bonne pratique de sauvegarde innovante :
- 3 copies de vos données
- Stocké sur 2 types de support différents
- 1 copie conservée hors site
- 1 copie entièrement isolée ou inaltérable
- 0 erreurs — ce qui signifie que vos sauvegardes sont régulièrement testées et vérifiées pour leur intégrité.
  Avec cette approche, vous bénéficiez d’une protection et d’une capacité de restauration maximales, quel que soit le sinistre auquel vous êtes confronté.
Comment la combinaison de sauvegarde Air-gap et de sauvegarde inaltérable peut-elle améliorer la cyber-résilience ?
La combinaison des deux vous offre une protection multicouche : l’inaltérabilité protège les données contre toute altération même en ligne, tandis que les sauvegardes Air-gap garantissent une copie isolée physique inaccessible aux attaquants. Ensemble, ils augmentent considérablement vos chances de restauration après une cyberattaque.
Quelles sont les conséquences financières de l’utilisation de ces stratégies de sauvegarde ?
Les coûts peuvent varier en fonction des technologies utilisées. Les sauvegardes Air-gap peuvent impliquer un stockage physique, comme des bandes ou des disques hors ligne, ce qui entraîne des frais de manutention et de stockage. La sauvegarde inaltérable implique généralement un stockage cloud ou du matériel spécialisé, capable d’évoluer en fonction du volume des données. Cependant, le coût de l’absence de ces protections, comme le paiement de rançons, les pertes de données et les temps d’arrêt, est bien plus élevé. C’est un investissement dans la continuité d’activité.
Comment Veeam peut-il aider à gérer efficacement le stockage de sauvegarde ?
Veeam propose une plateforme unifiée qui simplifie le stockage de sauvegarde dans l’ensemble des environnements : sur site, dans le cloud et hybrides. Grâce à des fonctionnalités telles que l’immuabilité des sauvegardes, l’analyse à la volée des logiciels malveillants et Veeam Data Cloud Vault, vous pouvez automatiser les politiques de rétention, maîtriser les coûts de stockage et sécuriser vos données — tout cela à partir d’une interface unique.
Quels sont les avantages en matière de conformité offerts par les sauvegardes inaltérables ?
Les sauvegardes inaltérables aident les organisations à satisfaire aux exigences de rétention et d’intégrité des données imposées par des réglementations telles que le RGPD, HIPAA et SOX. En empêchant la falsification des données et en garantissant une piste d’audit inaltérable, l’inaltérabilité favorise la conformité avec les normes de sécurité et de confidentialité, réduisant ainsi le risque réglementaire.
Comment les sauvegardes Air-gap s’inscrivent-elles dans une stratégie de données de niveau entreprise plus large ?
Les sauvegardes Air-gap jouent un rôle essentiel dans le plan de cyber-résilience et de reprise d’activité d’une entreprise. En offrant une option de restauration hors ligne et intouchable, ils complètent les solutions cloud et locales. Pour les entreprises qui gèrent des données sensibles ou réglementées, l’ajout d’un stockage Air-gap renforce la protection contre les cyberattaques et les catastrophes naturelles.