On a vu des dirigeants perdre cinq ans de contenu de blog, des centaines de fiches produits ou l'intégralité d'un catalogue e-commerce en une nuit, parce que la seule sauvegarde existante était sur le même serveur que le site piraté. Une sauvegarde qui vit au même endroit que ce qu'elle protège n'est pas une sauvegarde, c'est une fausse sécurité. La règle est simple à énoncer, moins souvent appliquée qu'on ne le pense.
La règle 3-2-1, expliquée sans jargon
Trois copies de vos données, sur deux supports différents, dont une copie hors site. Concrètement pour un site web : la version en ligne compte comme une copie, une sauvegarde automatique chez l'hébergeur en compte une deuxième, et une copie stockée ailleurs (autre hébergeur, cloud type Amazon S3 ou Backblaze, disque externe si vous êtes vraiment artisanal) complète le trio. Si votre seule sauvegarde est hébergée sur le même serveur physique que votre site, un incident sur ce serveur (piratage, panne disque, erreur humaine côté hébergeur) peut tout emporter en même temps.
Quelle fréquence pour quel type de site
- Site vitrine mis à jour rarement : une sauvegarde hebdomadaire suffit dans la plupart des cas
- Blog ou site de contenu actif : sauvegarde quotidienne recommandée dès que du contenu est publié plusieurs fois par semaine
- Site e-commerce : sauvegarde quotidienne au minimum, voire plusieurs fois par jour pour la base de commandes, car chaque commande perdue est une perte financière directe et un client mécontent
- Application web sur-mesure avec base de données transactionnelle : sauvegarde continue ou toutes les heures selon le volume d'activité
Pour un projet e-commerce ou une application sur-mesure, la fréquence de sauvegarde se définit dès la conception, pas après coup.
Sauvegarder le site ne suffit pas, il faut sauvegarder la base de données
Erreur fréquente : sauvegarder les fichiers du site (thème, images, code) sans sauvegarder la base de données qui contient les articles, les commandes, les comptes clients. Sur un site WordPress ou PrestaShop, la base de données est souvent la partie la plus critique et la plus négligée dans les sauvegardes manuelles. Une sauvegarde complète doit couvrir les deux : fichiers ET base de données, avec un horodatage cohérent entre les deux.
Tester la restauration, pas seulement l'archiver
Une sauvegarde qu'on n'a jamais restaurée n'est qu'une hypothèse. On a vu des sauvegardes automatiques tourner pendant des mois en silence, produisant des fichiers corrompus ou incomplets, sans que personne ne s'en aperçoive avant le jour où elles auraient dû servir. La bonne pratique : tester une restauration complète sur un environnement de test au moins une fois par trimestre, pour vérifier que le fichier de sauvegarde est exploitable et que la procédure de restauration ne prend pas six heures le jour où elle est urgente.
Combien de temps conserver les sauvegardes
Une rétention de 30 jours glissants avec des points de sauvegarde quotidiens couvre la majorité des besoins : elle permet de revenir en arrière même si le problème n'est détecté que plusieurs semaines après. Pour un site e-commerce soumis à des obligations comptables, certains hébergeurs conservent en plus des archives mensuelles sur 12 mois.
Ce qu'on met en place chez nos clients
Sur tous les projets qu'on suit en maintenance et sécurité, la sauvegarde automatique quotidienne externalisée est un prérequis, pas une option payante à part. On configure la rétention selon le type de site, et surtout on documente la procédure de restauration pour qu'elle ne dépende pas d'une seule personne qui serait en vacances le jour du problème. Si vous ne savez pas répondre à la question "où sont mes sauvegardes et quand a-t-on vérifié qu'elles fonctionnent", c'est le signe qu'un audit s'impose avant qu'un incident ne pose la question à votre place.
