CIS Controls v8.1 IG1 minimum

Contrôle 11 — Récupération des données

Établir et tester des processus de sauvegarde et de récupération pour garantir la continuité d'activité après un incident. Une sauvegarde non testée est une sauvegarde qui peut échouer au pire moment.

Pourquoi ce contrôle est critique ?

Risque sans ce contrôle : Sans sauvegardes fiables et testées, un ransomware ou une panne matérielle peut entraîner la perte définitive de toutes vos données. De nombreuses PME n'ont pas récupéré de ce type d'incident.

La règle 3-2-1 est le standard de l'industrie : 3 copies des données, sur 2 supports différents, dont 1 hors site (ou cloud). Les sauvegardes doivent être testées régulièrement — une sauvegarde non testée peut être corrompue ou incomplète.

Procédures & outils recommandés

Implémenter la règle 3-2-1 : sauvegarde locale (NAS), sauvegarde cloud chiffrée (Backblaze, Wasabi), et test de restauration trimestriel. Les sauvegardes cloud doivent être immuables (immutable backup) pour résister aux ransomwares qui ciblent aussi les sauvegardes.

Outils adaptés aux PME
  • Veeam Free Edition — sauvegarde VM et physique gratuite
  • Backblaze Business — cloud backup abordable et immuable
  • Wasabi — stockage cloud immuable à faible coût
  • Windows Server Backup — intégré et gratuit
  • Acronis Cyber Protect — sauvegarde + anti-ransomware intégré

Tableau des Safeguards

#Action (Safeguard)IGClasse
11.1Établir et tenir à jour une politique de sauvegarde (fréquence, types de données, rétention, responsable).IG1Données
11.2Effectuer des sauvegardes automatisées des données critiques. Minimum quotidien pour les données métier.IG1Données
11.3Protéger les sauvegardes : chiffrement, accès limité, stockage séparé des systèmes de production.IG1Données
11.4Tester la restauration des sauvegardes au minimum une fois par trimestre.IG1Données
11.5S'assurer que les sauvegardes sont stockées hors site ou dans le cloud (règle 3-2-1).IG1Données
11.6Établir des sauvegardes immuables (immutable backup) résistantes aux ransomwares.IG2Données
11.7Automatiser la vérification de l'intégrité des sauvegardes après chaque exécution.IG2Données

Application pour les PME québécoises

Action prioritaire IG1 : tester la restauration d'une sauvegarde si vous avez des sauvegardes. Si non, déployer immédiatement Backblaze Business (7$/mois/appareil) pour une sauvegarde cloud automatique. Chiffrer les sauvegardes et les stocker séparément des systèmes de production.

Lien Loi 25 : Un ransomware chiffrant des données personnelles de clients est un incident notifiable sous la Loi 25 (art. 3.5). Des sauvegardes immuables hors site permettent de récupérer les données sans payer la rançon et de minimiser l'impact reportable à la CAI.

Quiz de validation — 5 questions

1. Que signifie la règle 3-2-1 pour les sauvegardes ?

2. À quelle fréquence minimum tester la restauration des sauvegardes ?

3. Qu'est-ce qu'une 'sauvegarde immuable' ?

4. Pourquoi stocker les sauvegardes séparément des systèmes de production (Safeguard 11.3) ?

5. Combien de Safeguards IG1 contient le Contrôle 11 ?

Voir aussi

C3 — DonnéesC17 — IncidentsLoi 25 — Incidents