Annexe A · TechnologiqueLecture 5 min·100 % des PME doivent l'inclure
A.8.13Sauvegarde des informations
En 1 phrase : Règle 3-2-1 (3 copies, 2 supports différents, 1 hors site), avec tests de restauration trimestriels prouvés.
Pourquoi ce contrôle est critique
78 % des entreprises qui perdent leurs données ferment dans les 12 mois (rapport FEMA). Les sauvegardes sont votre dernier rempart contre le ransomware, la panne matérielle, la suppression accidentelle, l'erreur humaine.
Mais avoir des sauvegardes ne suffit pas — il faut les TESTER. 60 % des tentatives de restauration en situation réelle échouent (sauvegardes corrompues, mots de passe oubliés, infrastructure absente). ISO 27001 (A.8.13) demande des tests réguliers.
Applicable à vous ?
Réponse rapide : oui à 100 %. Toute donnée critique pour votre activité doit être sauvegardée.
Vous DEVEZ identifier (cf. inventaire actifs A.5.9) :
- • Données de production (bases de données, fichiers métiers)
- • Configurations (Active Directory, scripts de déploiement, IaC)
- • Code source (GitHub déjà en HA, mais pensez aux secrets et CI/CD)
- • Documents juridiques et financiers (compta, RH, contrats)
- • Emails (M365 / Google Workspace ont des SLA mais à compléter)
Lignes directrices ISO 27002:2022
ISO 27002:2022 (§ 8.13) précise les axes de sauvegarde :
- Définir une politique de sauvegarde documentant : périmètre, RPO (perte max acceptable), RTO (délai max restauration)
- Sauvegardes complètes ET incrémentales selon planning défini (quotidien minimum)
- Stockage sur support distinct du système source (règle 3-2-1)
- Au moins 1 copie hors site (cloud différent ou bande/disque déconnecté)
- Sauvegardes immuables ou air-gapped pour protection ransomware (Object Lock, snapshots non-éditables)
- Chiffrement des sauvegardes au repos ET en transit
- Tests de restauration réguliers (trimestriels minimum) avec PV signé
- Rétention adaptée aux exigences légales (10 ans pour la compta FR, 3 ans pour les logs, etc.)
Comment l'implémenter : 3 niveaux
Minimum acceptablePME 10-30p, maturité 1-2/5
- Sauvegardes automatiques quotidiennes (RPO 24h)
- Règle 3-2-1 respectée (3 copies, 2 supports, 1 hors site)
- Stockage hors site : cloud objet (S3, Wasabi, OVH Object Storage)
- Test de restauration partiel trimestriel (1 fichier au hasard)
- PV de test signé, conservé dans coffre-fort à preuves
50 - 200 €/mois selon volume
Sweet spot PME
ProPME 30-100p, maturité 3-4/5
- Solution dédiée : Veeam, Datto, Acronis, Commvault
- RPO ≤ 4h pour les bases critiques
- Sauvegardes immuables Object Lock (S3 Versioning + MFA Delete)
- Tests de restauration trimestriels documentés (full restore environnement isolé)
- Procédure PRA (Plan de Reprise d'Activité) testée annuellement
- Chiffrement AES-256 au repos + TLS 1.2+ en transit
300 - 1500 €/mois
Au-delàETI > 100p, secteurs sensibles
- RPO ≤ 15 min via réplication continue (DR Site)
- RTO ≤ 1h grâce à failover automatique
- Sauvegardes air-gapped physique (bande déconnectée, salle distante)
- Exercices PRA semestriels avec décompte temps réel
- Sauvegarde de la sauvegarde (multi-cloud)
- Détection anomalies sur les sauvegardes (volume soudain, modifications massives)
5 000 - 50 000 €/mois
Phrase exacte pour votre SOA
SOA — A.8.13 Inclus
Statut : Inclus
Justification :
Identifié par l'analyse de risques (atelier 5 EBIOS RM, scénarios "perte données" et "ransomware", scores 15-20/25). Exigence contractuelle SLA client ACME (RPO ≤ 4h). Obligation légale (compta : 10 ans).
Identifié par l'analyse de risques (atelier 5 EBIOS RM, scénarios "perte données" et "ransomware", scores 15-20/25). Exigence contractuelle SLA client ACME (RPO ≤ 4h). Obligation légale (compta : 10 ans).
État : Implémenté (niveau Pro)
Veeam Backup & Replication v12 active. Sauvegardes quotidiennes des bases PostgreSQL OVH (RPO 4h) + M365 (Veeam M365). 3-2-1 respecté : prod OVH + réplication OVH SBG3 + cloud Wasabi (Object Lock). Test full restore réalisé le 14 mars 2026 (47 min, validé). Chiffrement AES-256 + TLS 1.3.
Veeam Backup & Replication v12 active. Sauvegardes quotidiennes des bases PostgreSQL OVH (RPO 4h) + M365 (Veeam M365). 3-2-1 respecté : prod OVH + réplication OVH SBG3 + cloud Wasabi (Object Lock). Test full restore réalisé le 14 mars 2026 (47 min, validé). Chiffrement AES-256 + TLS 1.3.
Preuve :
Politique kyrionn-policy-backup.pdf v2.1 + capture Veeam dashboard 2026-04-15 + PV TEST-PRA-2026-Q1.pdf signé DSI + script de chiffrement validé
Politique kyrionn-policy-backup.pdf v2.1 + capture Veeam dashboard 2026-04-15 + PV TEST-PRA-2026-Q1.pdf signé DSI + script de chiffrement validé
Mettre en place A.8.13 : 3 chemins concrets
Avec Kyrionn
- 1Politique de sauvegarde pré-rédigée (RPO/RTO selon profil)
- 2Calendrier tests trimestriels avec rappel 14 j avant
- 3PV de test pré-formaté à signer
- 4Coffre-fort à preuves : tous les PV centralisés
- 5Alerte automatique si test en retard
2 h setup · auto ensuite
Démarrer gratuitement Avec Veeam / Datto
- 1Souscription solution dédiée
- 2Configuration policies (RPO/RTO)
- 3Mise en place stockage immuable
- 4Calendrier tests trimestriels manuel
- 5Reporting manuel pour audit
2-5 jours setup · 300-1500 €/mois
En interne (DIY)
- 1Scripts pg_dump + cron
- 2Upload S3 / Wasabi via aws-cli
- 3Politique de rétention manuelle
- 4Tests de restauration ad hoc
- 5Aucune console centralisée
20 h setup · 50-200 €/mois
Contrôles liés à A.8.13
A.5.29Sécurité pendant les perturbationsà venir
PCA dépend des sauvegardes
A.5.30PCA-TICà venir
Reprise informatique
A.8.7Protection malware
Plan B en cas de ransomware
A.8.10Suppression sécuriséeà venir
Cycle de vie des données
A.8.24Cryptographieà venir
Chiffrement des sauvegardes
A.5.33Protection des enregistrementsà venir
Conservation légale