La sauvegarde dans le cloud : un guide pratique pour les équipes informatiques et les MSP

Selon le rapport Kaseya 2026 sur l'état du secteur des MSP, 50 % des MSP ont fait état d'une croissance de leur chiffre d'affaires dans le domaine de la BCDR (sauvegarde, reprise après sinistre et résilience) d'une année sur l'autre, grâce à des clients qui ont compris que les plateformes cloud ne remplacent pas la sauvegarde. C'est l'un des signaux commerciaux les plus évidents dans managed services : la demande en matière de sauvegarde qui fonctionne réellement en situation de crise est en hausse, et non en baisse.

L'expression « sauvegarde dans le cloud » est utilisée pour désigner trois problématiques fondamentalement différentes. La sauvegarde de serveurs sur site vers le cloud représente un défi différent de celui de la sauvegarde des charges de travail exécutées au sein d'AWS ou d'Azure, qui diffère lui-même de la sauvegarde des données stockées dans des applications SaaS telles que Microsoft 365. Chacune de ces situations présente ses propres modes de défaillance, ses exigences en matière de reprise et ses solutions adaptées.

Ce guide aborde ces trois aspects. Datto, qui fait partie du groupe Kaseya, a protégé plus de 500 000 entreprises à travers le monde par l'intermédiaire de fournisseurs de services gérés (MSP), ce qui nous permet d'avoir une vision précise des points forts et des points faibles de chaque approche lorsqu'elle est mise à l'épreuve dans des situations de reprise réelles.

Sauvegarde dans le cloud : protection des serveurs sur site

Il s'agit du cas d'utilisation le plus courant. Les serveurs sur site, les machines virtuelles et les terminaux génèrent des copies de sauvegarde qui sont répliquées vers un stockage dans le cloud afin d'assurer une protection hors site. Le cloud est la destination, et non l'environnement à protéger.

Le principal défi réside dans le compromis entre la rapidité de la restauration et son coût. À des vitesses de restauration typiques sur Internet, la récupération d'un téraoctet de données peut prendre des heures, voire des jours. Une restauration exclusivement sur le cloud ne suffit pas pour respecter des exigences de RTO inférieures à une heure. Les entreprises qui se heurtent à cette limite lors d'un incident réel doivent faire face à des temps d'arrêt qui se mesurent en jours plutôt qu'en heures.

La solution réside dans le modèle hybride combinant appliance et cloud. Un appareil de sauvegarde local, tel que Datto SIRIS, assure la restauration rapide des données récentes à la vitesse du réseau local, y compris la virtualisation locale instantanée, permettant ainsi à un serveur en panne de redémarrer en quelques minutes. Cette même sauvegarde est simultanément répliquée vers le Datto Cloud pour une protection hors site et une conservation à long terme. Si le site principal venait à être entièrement perdu, la virtualisation dans le cloud permet aux charges de travail de se lancer dans le Datto Cloud pendant que l'environnement physique est restauré.

C'est l'architecture qui répond le mieux aux besoins de la plupart des PME : une restauration locale rapide lorsque la rapidité est primordiale, et une copie cloud indépendante et immuable lorsque la résilience est primordiale.

L'erreur commise par les MSP dans ce cas : considérer la réplication dans le cloud comme la seule stratégie de sauvegarde et renoncer à l'appareil local pour réduire les coûts initiaux. Sur le papier, cela semble plus avantageux financièrement. En cas d'attaque par ransomware qui chiffrerait l'environnement local et nécessiterait une restauration complète du serveur via Internet, le client mettrait plusieurs jours à se remettre de l'incident au lieu de quelques heures, et c'est le MSP qui supporterait le coût de ce délai.

Découvrez Datto SIRIS la sauvegarde hybride et la reprise après sinistre

Sauvegarde dans le cloud : protection des charges de travail AWS et Azure

L'infrastructure cloud ne se sauvegarde pas d'elle-même. AWS et Azure fonctionnent selon un modèle de responsabilité partagée : le fournisseur est responsable de la résilience de l'infrastructure ; le client est responsable des données et des charges de travail qui y sont exécutées. Si une instance EC2 ou une machine virtuelle Azure est cryptée par un ransomware, supprimée par inadvertance ou endommagée par un déploiement défectueux, c'est au client qu'il incombe de la restaurer.

Les risques spécifiques liés à la sauvegarde native dans le cloud :

Les outils natifs tels qu'AWS Backup et Azure Backup offrent une certaine protection, mais ils fonctionnent au sein de l'écosystème du fournisseur. Un compte cloud compromis, une attaque par ransomware qui s'empare des identifiants de connexion au cloud ou un incident du côté du fournisseur peut affecter simultanément à la fois les charges de travail principales et les sauvegardes associées au même compte. De plus, les sauvegardes natives répondent rarement aux exigences d'indépendance des polices d'assurance cyber, qui imposent des copies hors site et immuables.

Datto Backup for Microsoft Azure ce problème en répliquant les machines virtuelles Azure et les fichiers Azure vers le Datto Cloud, en dehors de l'écosystème Azure, grâce à un stockage immuable et à une tarification forfaitaire qui élimine l'imprévisibilité des coûts de sortie de données inhérente à Azure Backup natif. La réplication horaire permet d'atteindre un objectif de point de restauration de 60 minutes. Les options de restauration comprennent la restauration au niveau des fichiers, la restauration complète des machines virtuelles et la virtualisation dans le cloud directement au sein du Datto Cloud.

Ce que les MSP négligent ici : ils partent du principe que, dès lors qu'un client est « dans le cloud », il est automatiquement protégé. AWS et Azure assurent la résilience de l'infrastructure, mais pas la sauvegarde des données. Les MSP qui gèrent des environnements cloud sans effectuer de sauvegarde indépendante de ces charges de travail s'exposent à un risque important en matière de responsabilité.

Sauvegarde des applications cloud : protection des données SaaS

Les applications SaaS constituent une catégorie distincte de l'infrastructure cloud. Microsoft 365, Google Workspace et les plateformes similaires gèrent l'application et sa disponibilité, mais elles n'offrent pas de solution de sauvegarde permettant une restauration effective. Les paramètres de conservation par défaut de Microsoft sont conçus pour répondre aux exigences de conformité et pour faire face à des suppressions accidentelles dans des délais très courts. Ils ne sont pas conçus pour permettre une restauration à un instant précis après une attaque par ransomware, une suppression malveillante effectuée par un compte compromis ou une erreur de configuration à grande échelle.

Le modèle de responsabilité partagée s'applique ici aussi. Microsoft est responsable de la plateforme. L'organisation est responsable des données qu'elle y stocke.

Quels sont les éléments réellement menacés ? Les e-mails, les calendriers, les contacts, les sites SharePoint, les fichiers OneDrive et les données Teams. Dans la plupart des environnements de PME, cela représente la majeure partie des données opérationnelles. Une attaque par ransomware qui chiffrerait SharePoint ou OneDrive, ou encore la compromission d'un compte administrateur entraînant la suppression massive de boîtes de réception, peut causer des dommages considérables que les politiques de conservation natives ne permettent pas de réparer.

Datto SaaS Protection les données Microsoft 365 et Google Workspace trois fois par jour vers un référentiel Datto Cloud indépendant offrant une durée de conservation illimitée. La restauration est granulaire : des e-mails, fichiers ou dossiers individuels, voire des comptes entiers, peuvent être restaurés à n'importe quel moment dans le temps. SaaS Protection ajoute une détection intégrée des menaces avec une analyse automatisée des ransomwares et du phishing dans l'ensemble de l'environnement Microsoft 365.

Ce que les MSP font mal dans ce domaine : ne pas proposer du tout de solution de sauvegarde SaaS, ou la proposer uniquement en option. Tous les clients utilisant Microsoft 365 ou Google Workspace ont des données exposées à des risques que la plateforme ne pourra pas récupérer pour eux. La sauvegarde SaaS devrait être un élément incontournable de tout managed services incluant Microsoft 365.

La règle du 3-2-1 et pourquoi elle reste d'actualité

La règle du 3-2-1 est antérieure à la sauvegarde dans le cloud, mais elle reste le cadre le plus utile pour déterminer si une architecture de sauvegarde est fiable : trois copies des données, sur deux types de supports différents, dont une hors site.

La sauvegarde dans le cloud répond à l'exigence de stockage hors site. En revanche, elle ne répond pas automatiquement à l'exigence d'indépendance. Les sauvegardes stockées dans le même compte cloud que les données principales sont exposées aux mêmes menaces : une attaque par ransomware ou une compromission de compte qui détruit les données de production peut tout aussi facilement toucher les sauvegardes stockées dans ce même compte.

Pour tout client soumis à des obligations de restauration importantes, la copie dans le cloud hors site doit se trouver dans un environnement distinct, géré de manière indépendante, et doté d'un stockage d'objets immuables. Cela s'applique aux trois cas d'utilisation mentionnés ci-dessus. Les sauvegardes sur site répliquées vers le Datto Cloud se trouvent en dehors de l'environnement principal du client. Les charges de travail Azure sauvegardées vers Datto se trouvent en dehors d'Azure. Les données SaaS sauvegardées vers Datto SaaS Protection en dehors du tenant Microsoft 365. C'est précisément cette indépendance qui est essentielle.

Les ransomwares et les arguments en faveur de l'immuabilité

Les auteurs de ransomware ont réorienté leurs tactiques pour cibler spécifiquement les infrastructures de sauvegarde. Le rapport 2025 Data Breach Investigations Report de Verizon établit un lien entre les ransomwares et 75 % des incidents liés à des intrusions dans les systèmes. Les pirates qui compromettent ou suppriment les sauvegardes avant de chiffrer les données de production coupent toute voie de récupération et forcent les victimes à payer.

Une architecture de sauvegarde résistante aux ransomwares doit présenter trois caractéristiques que les solutions de sauvegarde traditionnelles ne garantissent pas.

Isolement. Les sauvegardes accessibles via les mêmes identifiants ou le même réseau que les systèmes de production peuvent être atteintes par un pirate ayant compromis ces systèmes. La copie hors site doit être véritablement isolée.

Immuabilité. Une fois créées, les copies de sauvegarde ne doivent pouvoir être ni modifiées ni supprimées par aucun processus, sauf à l'expiration de la période de conservation prévue. Un stockage d'objets immuable, assorti d'une période de verrouillage définie, empêche les ransomwares et les comptes administrateurs compromis de détruire les données de sauvegarde. Le Datto Cloud repose sur ce principe, avec une protection contre la suppression dans le cloud qui bloque toute modification ou suppression non autorisée, quel que soit ce qui arrive à l'environnement protégé.

Récupérabilité testée. Selon une étude de Sophos, 45 % des victimes de ransomware ayant utilisé des sauvegardes ont pu récupérer leurs données en moins d’une semaine. Celles qui ne pouvaient pas compter sur des sauvegardes ont dû faire face à des délais de récupération allant d’un à six mois dans 31 % des cas. La différence réside presque toujours dans le fait que la récupération ait été testée ou non avant l’incident. La vérification par capture d’écran optimisée par l’IA SIRISDatto SIRISoffre une précision supérieure à 99 %, signalant les tâches de sauvegarde suspectes avant qu’elles ne se transforment en échecs de récupération. Une sauvegarde non testée n'est pas une sauvegarde.

Gérer la sauvegarde dans le cloud à grande échelle en tant que prestataire de services gérés (MSP)

Pour les MSP, les exigences opérationnelles de la sauvegarde dans le cloud vont au-delà de la simple protection des clients individuels. La rentabilité des managed services que la gestion des sauvegardes puisse s'adapter à l'échelle sans entraîner une augmentation proportionnelle du temps de travail des techniciens.

Une visibilité unifiée sur les trois cas d'utilisation. La lacune opérationnelle la plus flagrante dans la plupart des solutions de sauvegarde des MSP réside dans la fragmentation de la visibilité : la BCDR sur site dans une console, la sauvegarde de l'infrastructure cloud dans une autre, et la sauvegarde SaaS dans une troisième. La page d'état de sauvegarde unifiée de Datto regroupe SIRIS, Datto Endpoint Backup Disaster Recovery, Datto Backup for Microsoft Azure et SaaS Protection tous les clients dans une vue unique. Une seule console, un seul ensemble d'alertes, un seul workflow de reporting.

Politiques de protection standardisées. Les MSP qui définissent des politiques de sauvegarde standardisées en fonction du niveau de service de chaque client et les appliquent de manière cohérente à l'ensemble de leur portefeuille bénéficient de moins de lacunes de couverture, de frais de remédiation réduits et de rapports plus clairs aux fins de conformité et d'assurance cyber. C'est précisément lorsque des configurations ad hoc sont mises en place pour chaque client que les lacunes s'accumulent de manière imperceptible.

Alertes automatisées et rapports de suivi. Les défaillances de sauvegarde qui ne sont détectées que lorsqu’un technicien les remarque sont des défaillances en puissance. Les alertes automatisées en cas d’échec des tâches, de sauvegardes manquées et d’erreurs de vérification, associées à des rapports réguliers destinés aux clients et présentant l’état de santé des sauvegardes, transforment la gestion des sauvegardes d’une activité réactive en un service documenté.

Prévisibilité des tarifs. Les plateformes de sauvegarde dans le cloud proposant une tarification au Go ou un coût de sortie variable entraînent une facturation imprévisible pour les clients et des marges aléatoires. Une tarification forfaitaire couvrant le stockage, les tests de reprise après sinistre et le coût de sortie fait de la sauvegarde une source de marge fiable plutôt qu'une variable de coût.