PME francilienne : arrêter de subir les sauvegardes Microsoft 365 bancales

Dans beaucoup de PME d'Île‑de‑France, les dirigeants croient encore que Microsoft 365 sauvegarde tout automatiquement. C'est faux, et cette croyance coûte cher. Dans cet article, je démonte les idées reçues et j'explique comment bâtir une vraie sauvegarde de données cloud à cloud, enfin digne de ce nom.

Microsoft 365 n'est pas votre sauvegarde, et ce n'est pas négociable

Commençons par regarder la réalité en face : Microsoft 365 offre une haute disponibilité, pas une vraie sauvegarde Microsoft 365. Vous payez pour que le service fonctionne presque tout le temps, pas pour qu'il vous rende vos données dans tous les scénarios catastrophes.

En 2023, une étude de Veeam estimait que 73 % des entreprises pensaient que leurs données Microsoft 365 étaient "entièrement protégées par Microsoft". Or, si vous lisez attentivement le contrat (que personne ne lit vraiment), Microsoft est très clair : la responsabilité finale de la sauvegarde vous incombe.

Concrètement, cela veut dire quoi pour une PME francilienne classique de 30 à 80 postes ?

• Un employé supprime un dossier SharePoint par erreur, et personne ne s'en rend compte avant 35 jours : c'est perdu.
• Un compte compromis chiffre ou supprime des données OneDrive et SharePoint : vous êtes coincés avec une restauration limitée, complexe et parfois incomplète.
• Un collaborateur quitte l'entreprise, on supprime sa licence trop vite : l'ensemble de son OneDrive disparaît, avec parfois des éléments de production.

À ce stade, certains haussent les épaules. Jusqu'au jour où le service comptable perd trois ans de dossiers partagés à un moment où il faut justement préparer le "rush fiscal" évoqué dans cet autre article. Là, la théorie devient très concrète.

Actualité : explosion des attaques ciblant Microsoft 365

Depuis deux ans, l'écosystème Microsoft 365 est devenu le terrain de jeu favori des attaquants. Les chiffres de l'ANSSI comme ceux de Cybermalveillance.gouv.fr convergent : les rançongiciels et les compromissions de comptes explosent, notamment dans les TPE‑PME.

Quelques tendances très terre à terre :

• Les attaques par hameçonnage ciblant les comptes Microsoft 365 se multiplient, parfois avec des mails d'apparence impeccablement légitime.
• Une fois le compte compromis, l'attaquant peut modifier des règles de boîtes aux lettres, effacer des mails, manipuler des dossiers partagés, voire déployer un chiffrement progressif.
• Les logs natifs et l'historique de versions ne suffisent pas à remonter loin ni assez finement pour tout rattraper.

Le plus agaçant là‑dedans, c'est que beaucoup de ces impacts seraient bénins si une vraie sauvegarde cloud à cloud était en place, supervisée et testée. Pas un simple "on verra bien avec l'historique". Une vraie stratégie, assumée.

Ce que Microsoft 365 protège... et ce qu'il ne protège pas

Pour éviter le discours flou, passons en revue, sans fard, ce que vous avez réellement aujourd'hui si vous n'avez rien mis en place d'autre que Microsoft 365.

Ce que vous avez (et qui est déjà utile)

• Un haut niveau de disponibilité de la plateforme, assuré par Microsoft.
• Une redondance des données dans les datacenters Microsoft.
• Un historique de versions sur certains fichiers (SharePoint, OneDrive).
• Une corbeille et une corbeille secondaire, avec des durées de rétention limitées.

Cela couvre les erreurs très visibles, détectées rapidement. Le fichier qu'on vient d'écraser, le mail supprimé hier. C'est pratique, évidemment.

Ce que vous n'avez pas (et qui vous manquera le jour venu)

• Une rétention longue et maîtrisée, ajustée aux besoins métiers (3, 5, parfois 10 ans).
• La capacité à restaurer un compte complet au 12 février à 18 h 03, sans tout casser autour.
• La protection contre les suppressions massives et silencieuses (un compte malveillant qui efface progressivement des dossiers sur plusieurs semaines).
• Une restauration granulaire et lisible pour le métier, pas réservée aux prêtres de l'admin Exchange.

À partir de là, prétendre que "Microsoft s'en occupe" n'est pas une stratégie, c'est de la foi. Et la foi, en cybersécurité, finit rarement bien.

Le mythe du "stockage cloud = sauvegarde"

On l'a déjà écrit ici à propos des NAS en sous‑sol dans l'article sur les sauvegardes avant les crues, mais il faut le répéter : stocker n'est pas sauvegarder. Le cloud non plus.

Un stockage cloud, qu'il soit Microsoft, Google ou autre, vous garantit :

• Un accès aux données depuis n'importe où.
• Une synchronisation multi‑appareils.
• Une disponibilité globale correcte.

Une sauvegarde, elle, doit garantir autre chose : la possibilité de revenir en arrière, de façon contrôlée, sur tout ou partie de votre environnement, dans un délai acceptable pour l'entreprise. C'est tout l'objet d'une politique de sauvegarde digne de ce nom, telle que détaillée sur notre page La Sauvegarde de Données Informatiques.

L'illusion la plus coûteuse, c'est ce mélange entre synchronisation et sauvegarde. Une synchronisation réplique une erreur à la vitesse de la lumière. Une sauvegarde, si elle est bien conçue, vous permet de retrouver le monde d'hier sans tout réécrire à la main.

Mettre en place une vraie sauvegarde Microsoft 365 : les bases

Dans les faits, une PME francilienne n'a pas besoin d'une "usine à gaz enterprise". Elle a besoin d'une architecture simple, robuste, et d'un prestataire qui ne se contente pas de cocher des cases dans un tableur.

1. Choisir une solution de sauvegarde cloud à cloud sérieuse

Première étape : arrêter les bricolages maison. Une bonne solution de sauvegarde Microsoft 365 doit au minimum :

• Sauvegarder Exchange Online (mails, calendriers, contacts), SharePoint, OneDrive et Teams.
• Permettre une rétention longue, configurable (au moins 1 à 3 ans, souvent plus).
• Offrir une restauration granulaire (un courrier, un dossier, un site SharePoint, un compte entier).
• Externaliser les données dans une infrastructure séparée de Microsoft, idéalement en France ou en Europe.

On est exactement dans la logique "Cloud à Cloud" décrite sur la page Sauvegarde de Données : ne jamais mettre tous ses oeufs dans le même datacenter, ni entre les mains du même fournisseur.

2. Définir un vrai plan de rétention avec les métiers

Deuxième étape, souvent bâclée : discuter avec les métiers. Pas juste avec l'IT, pas juste avec la compta. Qui a besoin de quoi, et combien de temps ?

1. Les services financiers demandent souvent une rétention alignée sur les obligations légales (jusqu'à 10 ans dans certains cas, voir les repères de la documentation officielle).
2. Les services RH veulent sécuriser les dossiers sensibles des collaborateurs.
3. Les équipes commerciales ont besoin de retrouver des échanges clients plusieurs années après.

Une fois ce travail réalisé, on arrête les formules vagues du type "on garde tout au cas où" ou "30 jours, c'est suffisant". On décide, on documente, et on s'y tient.

3. Tester la restauration... avant le premier incident

La plupart des plans de sauvegarde meurent au premier test réel. Personne n'a pris le temps d'ouvrir la console, de simuler un compte supprimé, de restaurer un site Teams. Résultat : le jour J, tout le monde découvre l'outil en conditions de crise. Très mauvaise idée.

Une bonne pratique, que nous appliquons dans notre infogérance en Île‑de‑France :

• Planifier au moins deux tests de restauration par an, documentés.
• Inclure systématiquement un test Microsoft 365 dans les audits de sécurité, comme évoqué dans l'article sur les audits de cybersécurité bancals.
• Impliquer au moins un utilisateur métier dans ces tests (pour vérifier que la restauration est réellement exploitable).

Cas d'usage : le cabinet de conseil qui a failli tout perdre

Un exemple parmi d'autres, que je n'ai pas oublié. Cabinet de conseil de 40 personnes en proche banlieue parisienne, tout sur Microsoft 365. Le DAF nous appelle, paniqué : un site SharePoint "Projets clos" a été intégralement supprimé depuis plus de deux mois. Personne ne s'en était rendu compte. Classique.

Au départ, on nous explique que "ce n'est pas grave, Microsoft doit garder des sauvegardes". Après quelques vérifications, il faut annoncer ce que tout le monde redoute : la rétention native ne permet plus de remonter assez loin. Les dossiers partagés liés à certains grands comptes sont perdus.

Le coût réel ?

• Des jours entiers de reconstitution partielle depuis des mails, des documents locaux, des souvenirs flous.
• Un stress inutile pour les équipes, au pire moment de l'année.
• Un goût amer d'avoir cru qu'un abonnement Microsoft 365, "parce que c'est du Microsoft", valait stratégie de sauvegarde.

Nous avons ensuite mis en place une sauvegarde cloud à cloud supervisée, avec rétention de 5 ans sur les bibliothèques critiques. Le tout documenté dans le cadre plus large de la gouvernance IT de l'entreprise. Trop tard pour les données perdues, mais suffisant pour que l'histoire ne se répète pas.

Relier la sauvegarde Microsoft 365 à votre stratégie globale IT

Ce qui se joue ici, au fond, dépasse Microsoft 365. C'est la maturité globale de votre parc informatique et de votre gouvernance IT. Une entreprise qui externalise une partie de son SI dans le cloud sans se poser la question de la sauvegarde reproduit le même déni qu'avec un vieux serveur laissé sans PRA.

Les bonnes questions à se poser :

• Vos sauvegardes on‑premise et cloud sont‑elles pilotées de façon cohérente ?
• Votre prestataire d'infogérance vous fournit‑il des rapports de sauvegarde lisibles, réguliers, avec des tests documentés ?
• Votre plan de reprise d'activité prend‑il vraiment en compte Microsoft 365, ou uniquement vos serveurs locaux ?

À ce stade, mêler les sujets est non seulement légitime, mais indispensable : sauvegarde Microsoft 365, télésauvegarde classique, PRA, conformité RGPD (évoquée dans l'article sur les audits RGPD fantômes) doivent faire partie du même tableau de bord. Pas de cases éparpillées dans des contrats disparates.

Vers une sauvegarde adulte de vos environnements cloud

Le cloud ne vous dispense ni de penser, ni de décider. Il simplifie certaines couches techniques, mais il vous laisse entièrement responsable de la continuité de vos données. C'est brutal à entendre, mais libérateur une fois assumé.

Pour une PME francilienne, le chemin est finalement assez simple :

1. Accepter que Microsoft 365 n'est pas une sauvegarde.
2. Choisir une solution cloud à cloud sérieuse, hébergée en Europe, intégrée à votre stratégie globale.
3. Définir des règles de rétention claires avec les métiers.
4. Tester régulièrement la restauration, sans complaisance.

Si vous avez le sentiment qu'aujourd'hui, tout cela tient encore sur des suppositions et quelques réflexes empiriques, c'est le bon moment pour remettre à plat vos sauvegardes. Et si vous voulez aller plus loin, commencez par passer en revue votre exposition globale via un audit structuré, ou tout simplement en demandant un devis d'infogérance pour confronter vos pratiques à celles d'équipes qui ne se racontent plus d'histoires sur le cloud.