Sauvegarde Microsoft 365 & Google Workspace : architecture technique et stratégie 3-2-1 pour PME

Le modèle de responsabilité partagée : pourquoi Microsoft et Google ne vous protègent pas

C'est le malentendu le plus dangereux en cybersécurité PME : « Mes données sont dans le cloud, donc elles sont sauvegardées. » Faux.

Microsoft et Google appliquent un modèle de responsabilité partagée (Shared Responsibility Model). En résumé :

• Microsoft/Google sont responsables de : la disponibilité de l'infrastructure, la redondance géographique des datacenters, la protection physique des serveurs.
• Vous êtes responsable de : vos données, vos comptes, vos configurations, vos politiques de rétention.

Concrètement, si un ransomware chiffre votre tenant SharePoint, si un employé supprime un Drive partagé par erreur, ou si un attaquant compromet un compte admin et purge les boîtes mail — Microsoft et Google ne restaureront rien. La corbeille expire, les politiques de rétention par défaut sont insuffisantes, et le support ne dispose pas d'une copie de secours de vos données.

Les limites concrètes de la rétention native

Microsoft 365

Google Workspace

Le problème : même avec les licences les plus chères (Microsoft 365 E5, Google Workspace Enterprise), la rétention native ne remplace pas une vraie sauvegarde. Elle ne protège pas contre la corruption silencieuse, la suppression d'un tenant complet, ou un attaquant qui purge les données ET les politiques de rétention.

Architecture de sauvegarde cloud : comment ça fonctionne

Sauvegarde Microsoft 365

Notre solution se connecte à votre tenant via l'API Microsoft Graph avec des permissions en lecture seule. Voici l'architecture :

1. Connexion API : authentification OAuth 2.0 avec un service principal dédié — aucun mot de passe utilisateur stocké.
2. Discovery automatique : détection de tous les utilisateurs, sites SharePoint, équipes Teams et groupes Microsoft 365.
3. Sauvegarde incrémentale : 3 sauvegardes par jour. Seuls les éléments modifiés depuis la dernière sauvegarde sont transférés (delta sync).
4. Stockage chiffré : données chiffrées AES-256 en transit (TLS 1.3) et au repos dans un datacenter européen.
5. Rétention illimitée : aucune limite de durée. Vous pouvez restaurer un email de 2023 en 2026.

Sauvegarde Google Workspace

Même architecture, adaptée aux API Google :

1. Connexion via service account Google avec délégation domain-wide — permissions granulaires en lecture seule.
2. Couverture complète : Gmail, Drive, Shared Drives, Calendrier, Contacts, Sites.
3. Sauvegarde incrémentale 3x/jour avec la même fréquence et la même rétention illimitée.
4. Restauration granulaire : restaurez un seul fichier, un dossier, une boîte mail complète ou un Shared Drive entier.

La règle 3-2-1 : le standard minimum

La règle 3-2-1 est le socle de toute stratégie de sauvegarde sérieuse :

• 3 copies de vos données (l'original + 2 sauvegardes)
• 2 supports différents (serveur local + cloud, par exemple)
• 1 copie hors-site (dans un datacenter géographiquement distant)

Variante 3-2-1-1-0 contre les ransomwares

Face aux ransomwares modernes qui ciblent spécifiquement les sauvegardes (exfiltration des credentials de backup, suppression des snapshots, chiffrement des agents), nous recommandons la variante 3-2-1-1-0 :

• 3 copies, 2 supports, 1 hors-site
• 1 copie immuable ou air-gapped : les snapshots Datto SIRIS sont nativement immuables. Même un attaquant avec des droits admin ne peut pas les supprimer.
• 0 erreur de restauration : chaque sauvegarde est vérifiée automatiquement (Screenshot Verification chez Datto, checksum chez Acronis).

Sauvegarde serveurs : Acronis vs Azure Backup

Acronis Cyber Protect — pour les serveurs on-premise

Acronis Cyber Protect combine sauvegarde et cybersécurité dans un seul agent :

• Sauvegarde image complète (bare-metal) : le serveur entier — OS, applications, données — est sauvegardé vers le cloud Acronis.
• Restauration bare-metal : en cas de panne hardware, restaurez le serveur complet sur un nouveau matériel en quelques heures.
• Protection anti-ransomware intégrée : l'agent Acronis détecte et bloque les processus de chiffrement suspects avant qu'ils n'atteignent les sauvegardes.
• Chiffrement AES-256 en transit et au repos.

Acronis est notre choix pour les PME qui ont encore des serveurs physiques ou des hyperviseurs (Hyper-V, VMware) on-premise.

Azure Backup — pour les infrastructures cloud

Pour les PME que nous migrons vers le cloud Azure, Azure Backup est la solution native :

• Sauvegarde des VMs Azure : snapshots incrémentaux automatiques, rétention configurable jusqu'à 99 ans.
• Sauvegarde SQL Azure : protection des bases de données avec RPO de 15 minutes.
• Sauvegarde Azure Files : protection des partages de fichiers cloud.
• Intégration native : gestion centralisée depuis le portail Azure, compatible avec Azure Policy pour l'application automatique.

Tableau comparatif

PRA avec Datto SIRIS : virtualisation instantanée

Le Plan de Reprise d'Activité va au-delà de la sauvegarde. Pendant que la sauvegarde protège vos données, le PRA protège votre activité.

Comment fonctionne Datto SIRIS

1. Agent Datto installé sur chaque serveur critique — prise de snapshots incrémentaux toutes les heures (configurable jusqu'à 5 minutes).
2. Appliance locale Datto : les snapshots sont stockés sur une appliance dans vos locaux pour une restauration ultra-rapide.
3. Réplication cloud : chaque snapshot est répliqué vers le cloud Datto (datacenter EU) pour la protection hors-site.
4. Screenshot Verification : après chaque snapshot, Datto démarre automatiquement une VM temporaire et prend une capture d'écran pour prouver que le backup est fonctionnel.
5. Virtualisation instantanée : en cas de panne serveur, l'appliance Datto démarre une VM de remplacement en moins de 6 minutes. Vos utilisateurs se reconnectent et continuent à travailler.

Datto ALTO : le PRA accessible aux petites PME

Pour les PME de moins de 30 postes avec 1 à 2 serveurs, Datto ALTO offre les mêmes fonctionnalités que SIRIS dans un format plus compact et abordable. C'est le PRA « premier prix » sans compromis sur la fiabilité.

Backup for Microsoft Azure

Pour les infrastructures 100% cloud Azure, Datto Backup for Microsoft Azure protège vos VMs Azure avec la même technologie de virtualisation instantanée — directement dans le cloud, sans appliance physique.

RPO et RTO : définir vos objectifs de reprise

Deux métriques essentielles pour dimensionner votre stratégie :

RPO — Recovery Point Objective

Le RPO définit combien de données vous acceptez de perdre, exprimé en temps :

• RPO 24h (sauvegarde quotidienne) : vous perdez au maximum 1 journée de travail. Suffisant pour les postes de travail.
• RPO 4h : acceptable pour les serveurs de fichiers et les applications métier non critiques.
• RPO 1h (Datto SIRIS) : indispensable pour les serveurs de production, ERP, bases de données.
• RPO 15 min : pour les systèmes les plus critiques (facturation, production).

RTO — Recovery Time Objective

Le RTO définit combien de temps vous pouvez rester à l'arrêt :

• RTO 24h : acceptable si votre activité peut fonctionner sans informatique pendant 1 jour.
• RTO 4h : standard pour la plupart des PME.
• RTO < 15 min (Datto SIRIS, virtualisation instantanée) : pour les activités où chaque minute d'arrêt coûte cher.

Chez Dhala, nous définissons les RPO/RTO avec vous lors de l'audit initial, en fonction de la criticité de chaque système. C'est ce qui détermine le choix entre sauvegarde simple, Acronis/Azure Backup, ou PRA Datto SIRIS.

Conformité DORA, NIS2 et ISO 27001

Les réglementations récentes imposent des exigences strictes en matière de sauvegarde et de continuité d'activité :

• DORA (Digital Operational Resilience Act) : les entités financières doivent disposer de politiques de sauvegarde documentées, de tests de restauration réguliers et de plans de continuité. Notre stratégie 3-2-1-1-0 avec tests trimestriels répond à ces exigences.
• NIS2 : les entreprises des secteurs essentiels et importants doivent mettre en place des mesures de continuité d'activité. Le PRA Datto SIRIS avec virtualisation instantanée est une réponse directe.
• ISO 27001 (annexe A.12.3) : exige des sauvegardes régulières, testées et documentées. Nos rapports de conformité mensuels sont directement exploitables pour les audits.

Pour le hardening et la conformité des postes, consultez notre page dédiée. La gestion des identités (IAM) complète la protection en contrôlant qui accède à vos sauvegardes.

Intégration avec l'écosystème de sécurité Dhala

La sauvegarde n'est qu'une couche de la stratégie de cybersécurité. Chez Dhala, elle s'intègre avec :

• Sécurisation des postes et serveurs : patching, hardening et RMM pour réduire le risque en amont.
• EDR/XDR & SOC managé : détection et réponse aux menaces avant qu'elles n'atteignent vos données.
• Gestion des identités (IAM) : accès conditionnel pour protéger les comptes admin de backup.
• Gestion de flotte MDM : conformité des appareils qui accèdent aux données sauvegardées.
• SOC managé 24/7 : surveillance continue et réponse en cas d'incident de sécurité.
• Scan de vulnérabilités : identification proactive des failles avant exploitation.

Conclusion : la sauvegarde est votre dernière ligne de défense

Le patching, l'EDR, le SOC, l'IAM — tout cela réduit le risque. Mais quand tout échoue, seule la sauvegarde vous sauve. Et seule une sauvegarde testée, chiffrée, répliquée hors-site et immuable vous protège vraiment.

Chez Dhala, nous ne vendons pas de la sauvegarde — nous construisons une stratégie de résilience complète, adaptée à votre PME, vos données et vos contraintes réglementaires. Le diagnostic est gratuit.