PRA ou sauvegardes ? Les deux ! Des stratégies complémentaires pour la sécurité IT
En 2026, sauvegardes et plan de reprise d’activité ne sont plus deux solutions à arbitrer mais deux briques complémentaires d’une même stratégie de résilience. Avec 1 366 incidents cyber traités par l’ANSSI en 2025 et 96 % des attaques visant désormais les sauvegardes, la résilience IT devient une obligation réglementaire portée par NIS2 et DORA.
- Sauvegardes et PRA sont complémentaires, pas interchangeables. NIS2 et DORA exigent désormais les deux dispositifs documentés et testés.
- 96 % des attaques ransomware ciblent les sauvegardes en 2026 selon Veeam, ce qui rend la copie immuable indispensable.
- La règle 3-2-1-1-0 est devenue le standard de référence : 3 copies, 2 supports différents, 1 hors site, 1 immuable, 0 erreur vérifiée.
- Les RTO et RPO doivent être calibrés par criticité métier, pas appliqués uniformément à tout le système d’information.
- Le cloud souverain s’impose comme socle du PRA pour répondre aux exigences NIS2, DORA et à la maîtrise des tiers critiques.
Sommaire
Sauvegardes, PRA, cloud souverain et conformité NIS2 et DORA en 2026.
- 1Pourquoi le débat PRA ou sauvegardes a changé de nature en 2026
- 2Les sauvegardes : protéger les données, la première ligne de défense
- 3Le plan de reprise d’activité : la résilience globale
- 4Sauvegardes et PRA : un tableau comparatif
- 5Le cloud souverain : brique stratégique du PRA en 2026
- 6Complémentarité : la résilience comme stratégie unique
- 7Foire aux questions
Pourquoi le débat PRA ou sauvegardes a changé de nature en 2026
Le contexte cyber français s’est durablement tendu. L’ANSSI a traité 1 366 incidents de sécurité confirmés en 2025, un niveau stable par rapport à 2024 mais nettement supérieur aux 1 112 incidents de 2023. Sur la même période, 128 attaques majeures par rançongiciel ont été recensées, avec une part qui interpelle : 48 % des victimes sont des PME, TPE et ETI. Les structures les moins armées sont devenues la cible privilégiée d’une cybercriminalité industrialisée.
Parallèlement, la mécanique des attaques s’est transformée. Selon le rapport Veeam Data Trust and Resilience 2026, 96 % des attaques par ransomware ciblent désormais directement les référentiels de sauvegarde, et 76 % de ces tentatives réussissent à compromettre les sauvegardes existantes. La conséquence est concrète : seules 28 % des organisations victimes parviennent à restaurer l’intégralité de leurs données après un incident.
Dans ce contexte, la directive NIS2 et le règlement DORA imposent désormais aux entreprises concernées de disposer d’un PCA et d’un PRA documentés, testés régulièrement, avec des RTO et RPO mesurables. La question n’est plus de choisir entre sauvegardes et PRA, mais de les articuler dans une stratégie unique de résilience opérationnelle.
Le paysage cyber en France (2025-2026)
- 1 366 incidents cyber traités par l’ANSSI en 2025
- 48 % des victimes de ransomware sont des PME, TPE et ETI
- 96 % des attaques ciblent les sauvegardes
- 28 % seulement des organisations restaurent toutes leurs données
Les sauvegardes : protéger les données, la première ligne de défense
La sauvegarde est une copie des données conservée séparément du système d’origine, destinée à permettre leur restauration en cas de perte, de corruption ou de chiffrement malveillant. C’est la fondation technique de toute stratégie de résilience, mais elle ne couvre que la donnée, pas la capacité à redémarrer une activité.
Les points clés pour une stratégie de sauvegarde robuste en 2026
- Définir un périmètre adapté : volume de données à protéger, fréquence des mises à jour, durée de rétention. Le périmètre se construit à partir de la valeur métier des données, pas du volume technique.
- Calibrer la périodicité : la fréquence des sauvegardes doit refléter la criticité métier et le rythme de modification des données, pour minimiser la perte potentielle (RPO).
- Tester régulièrement les restaurations : une sauvegarde n’a de valeur que si elle est restaurable. Les tests trimestriels sont devenus la norme et un attendu explicite des référentiels de conformité.
- Adopter la règle 3-2-1-1-0 : standard 2026 de la sauvegarde résiliente, qui ajoute à la règle historique une copie immuable et une vérification zéro erreur.
La règle 3-2-1-1-0 (standard de référence 2026 popularisé par Veeam)
- 3 copies des données
- 2 supports différents
- 1 copie hors site
- 1 copie immuable
- 0 erreur vérifiée
Sauvegarde immuable et air-gap : choisir la bonne approche
La copie immuable est devenue la pièce maîtresse de toute stratégie de sauvegarde en 2026. Une sauvegarde immuable est une copie qu’aucun acteur ne peut modifier ni supprimer pendant la durée de rétention définie, même avec des droits administrateur compromis. Deux approches techniques coexistent et répondent à des cas d’usage distincts.
Immutabilité logicielle : verrouillage technique appliqué par le logiciel ou le stockage, généralement via le mécanisme Object Lock (S3-compatible) ou des snapshots WORM. Restauration rapide, accessible en ligne, automatisable et scalable. Cas d’usage : RTO court, sauvegardes fréquentes, environnements cloud.
Air-gap physique : isolation physique de la copie via bande magnétique, disque déconnecté ou support hors réseau. Aucune connexion logique entre la copie et la production. Protection maximale contre les ransomwares, idéale pour les archives longue durée. Cas d’usage : données vitales, conformité réglementaire, dernier rempart.
Les deux approches ne sont pas exclusives. Une stratégie mature en 2026 combine généralement les deux : immutabilité logicielle pour les sauvegardes opérationnelles (restauration en heures), air-gap pour la copie ultime de sécurité (restauration en jours mais garantie d’intégrité). Cette combinaison répond aux exigences ReCyF de l’ANSSI sur la continuité d’activité.
Le plan de reprise d’activité : la résilience globale de l’entreprise
Le PRA (Plan de Reprise d’Activité) est une stratégie organisationnelle et technique destinée à restaurer les activités critiques après un sinistre dans des délais maîtrisés. Là où la sauvegarde protège la donnée, le PRA protège la capacité de l’entreprise à fonctionner.
Le PRA intègre des processus, des outils, des ressources humaines et des engagements de service mesurés par deux indicateurs : le RTO (Recovery Time Objective), durée maximale d’interruption tolérable, et le RPO (Recovery Point Objective), perte de données maximale acceptable. Ces deux indicateurs doivent être calibrés par criticité métier : une application vitale (ERP, production) vise un RTO inférieur à 1 heure, une application support tolère 24 heures.
Pour approfondir la construction d’un PRA (BIA, RTO/RPO par typologie d’application, DRaaS, gestion de crise), consultez notre guide complet du plan de reprise d’activité informatique.
PCA versus PRA : deux dispositifs complémentaires
Le PCA et le PRA répondent à deux moments distincts d’une crise. Le PCA (Plan de Continuité d’Activité) organise le maintien des fonctions essentielles en mode dégradé pendant la crise et couvre l’humain, les locaux, les procédures et la communication. Le PRA (Plan de Reprise d’Activité) organise la restauration technique complète du système d’information après l’incident. NIS2 et DORA exigent explicitement les deux dispositifs.
Les leviers d’un PRA solide en 2026
- Hybrider le système d’information : les architectures combinant on-premise, cloud privé souverain, cloud public et edge computing permettent d’aligner le bon service au bon usage tout en répartissant le risque.
- Intégrer un site distant : la redondance géographique protège contre les sinistres physiques et les attaques ciblées. Un site distant scalable, intégré au cloud, s’adapte à l’évolution de l’infrastructure principale.
- Tester et adapter le PRA régulièrement : les tests réguliers familiarisent les équipes aux procédures et révèlent les écarts avant l’incident réel.
- Aligner le PRA sur la criticité métier : tous les services ne méritent pas le même RTO. Une cartographie applicative croisée avec la criticité métier permet d’orienter l’effort sur les fonctions vitales.
Les attaques de 2025 ont confirmé l’importance d’un point souvent négligé : 29 % des vulnérabilités exploitées par les attaquants l’ont été le jour même de leur publication ou avant. Un PRA moderne intègre donc la dimension cybersécurité dès sa conception.
Sauvegardes et PRA : un tableau comparatif
Le cloud souverain : brique stratégique du PRA en 2026
Héberger son site de repli dans un cloud souverain certifié, opéré en France et soumis exclusivement au droit européen, répond directement aux exigences NIS2 et DORA. Les hyperscalers américains restent soumis au Cloud Act, ce qui peut entrer en conflit avec les obligations RGPD et la souveraineté des données critiques.
Les quatre piliers du cloud souverain pour le PRA :
- Juridiction européenne : données hébergées en France, opérées par un acteur français, soumises au RGPD sans exposition extraterritoriale.
- Conformité NIS2 et DORA : traçabilité, supervision et engagements de service alignés sur les exigences européennes de résilience opérationnelle.
- Continuité contrôlée : site distant, réplication maîtrisée, datacenters certifiés HDS et ISO 27001 pour les données sensibles.
- Maîtrise du tiers critique : contractualisation française, interlocuteur unique, accompagnement infogéré sans dépendance hyperscaler.
Le choix d’un cloud souverain pour le PRA ne relève plus d’un positionnement idéologique mais d’une exigence opérationnelle et réglementaire. Pour les secteurs sensibles (santé, finance, secteur public, opérateurs d’importance vitale), la souveraineté du site de repli conditionne directement la conformité globale.
Complémentarité : la résilience comme stratégie unique
Sauvegardes et PRA ne sont pas interchangeables. Les sauvegardes garantissent que la donnée existe encore après un incident. Le PRA garantit que l’entreprise peut redémarrer et continuer à servir ses clients. L’un sans l’autre laisse une faille majeure dans la résilience opérationnelle.
Cette logique de complémentarité est désormais inscrite dans le droit. La directive NIS2, qui concerne en France près de 15 000 entités selon l’étude d’impact gouvernementale, impose un PCA et un PRA testés, une politique de sauvegarde formalisée et une notification d’incident à l’ANSSI sous 24 heures. Le règlement DORA applique des exigences équivalentes au secteur financier depuis janvier 2025. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles.
Le coût d’un incident cyber pour une PME française dépasse désormais 150 000 euros en moyenne, selon la Stratégie nationale de cybersécurité 2026-2030 publiée par le gouvernement français en janvier 2026. Pour les structures plus grandes, ce montant peut dépasser le million d’euros lorsque s’ajoutent perte d’exploitation, remédiation, pénalités RGPD et impact réputationnel.
Une stratégie de résilience efficace en 2026 repose donc sur quatre piliers articulés : des sauvegardes 3-2-1-1-0 avec copie immuable, un PRA testé et aligné sur la criticité métier, un site de repli souverain et une gouvernance qui formalise les indicateurs RTO et RPO comme engagements de service vérifiables.
Pour évaluer la maturité de votre dispositif, découvrez notre expertise plan de reprise d’activité.
Foire aux questions
Une sauvegarde est une copie de données restaurable en cas de perte. Un PRA est un dispositif organisationnel et technique qui permet de redémarrer les activités critiques après un sinistre, dans des délais définis par les RTO et RPO. La sauvegarde protège la donnée, le PRA protège la capacité opérationnelle de l’entreprise.
Oui, en 2026 la règle 3-2-1-1-0 est devenue le standard de référence pour les organisations soumises à NIS2 ou DORA. Elle ajoute à la règle 3-2-1 une copie immuable, protégée des modifications par tout acteur même administrateur compromis, et une vérification automatique pour atteindre zéro erreur de restauration.
La directive NIS2 impose aux entités essentielles et importantes de disposer d’un PCA et d’un PRA documentés, testés régulièrement en conditions réelles, avec des RTO et RPO définis par service critique. Les sauvegardes doivent être régulières, testées et idéalement immuables. Les incidents significatifs doivent être notifiés à l’ANSSI sous 24 heures.
Les attaquants savent qu’une entreprise qui dispose de sauvegardes saines refuse de payer la rançon. Détruire ou chiffrer les sauvegardes avant de déclencher l’attaque principale maximise donc la pression sur la victime. Selon le rapport Veeam Data Trust and Resilience 2026, 76 % de ces tentatives de compromission des sauvegardes réussissent, ce qui justifie l’adoption généralisée des copies immuables.
