Pourquoi le serveur de sauvegarde est-il la cible prioritaire des ransomwares ?

Parce que si les attaquants détruisent ou chiffrent vos sauvegardes en premier, vous perdez votre seule voie de récupération qui n'implique pas de payer la rançon. Tout au long de 2025 et 2026, Bacula Systems et les équipes de réponse aux incidents ont documenté que les groupes de ransomware modernes consacrent plusieurs jours à localiser le serveur de sauvegarde, à élever leurs privilèges dessus et à effacer les catalogues avant même de lancer le chiffrement massif. C'est pour cela que la sauvegarde ne peut plus être une simple copie : elle doit être immuable, isolée et vérifiée automatiquement.

Que signifie vraiment une sauvegarde immuable ?

Une sauvegarde est immuable lorsqu'une fois écrite, personne ne peut la modifier ni la supprimer avant l'expiration de sa rétention, pas même un utilisateur avec des privilèges root. En pratique, cela s'obtient avec du WORM sur bande LTO, de l'Object Lock sur S3 ou Ceph, ou des systèmes de fichiers append-only avec snapshots protégés. Bacula supporte les trois nativement, et c'est précisément pour cela qu'on peut construire des architectures résistantes aux ransomwares sans licences premium additionnelles.

Pourquoi Bacula coûte-t-il moins cher que Veeam ou Veritas en 2026 ?

Parce que Bacula ne facture pas par téraoctet protégé. Veeam, Veritas NetBackup et Commvault facturent en fonction du volume de données ou du nombre d'hôtes, ce qui signifie que votre facture de sauvegarde augmente chaque année au même rythme que votre entreprise. Bacula Systems licencie par nombre de clients et plugins activés, avec un prix qui reste stable même quand le volume double. Veeam a d'ailleurs annoncé des hausses de 4 à 8 % pour janvier 2025 et janvier 2026, en plus des augmentations cumulées déjà observées ces dernières années. Pour les environnements de taille moyenne, la migration vers Bacula réduit typiquement le coût annuel de sauvegarde de 60 à 85 % la première année.

Bacula est-il vraiment adapté aux environnements d'entreprise critiques et conforme NIS2 ?

Oui. Bacula est en production depuis plus de 20 ans dans des banques, administrations publiques, hôpitaux, opérateurs télécom et centres de données scientifiques à l'échelle du pétaoctet. La version commerciale de référence actuelle est Bacula Enterprise 18.0.8 (juin 2025), avec des fonctions anti-ransomware comme BGuardian, un dashboard de sécurité dans BWeb, et le support natif de Microsoft 365, Azure, Nutanix AHV et des snapshots CSI Kubernetes. Les architectures que nous déployons chez SIXE sont conçues pour répondre aux exigences de la directive NIS2 en matière de résilience et de récupération, notamment l'immuabilité des sauvegardes et la vérification automatique.

Bacula : sauvegarde immuable anti-ransomware sans facturation

Sauvegarde & Résilience · Avril 2026

Bacula : la sauvegarde qui tient face aux rançongiciels. Sans facturer au To.

Les groupes de ransomware modernes ne s'attaquent plus d'abord à vos serveurs. Ils s'attaquent d'abord à vos sauvegardes. Voici ce que cela signifie concrètement, ce qu'est réellement une sauvegarde immuable, et pourquoi de plus en plus de nos clients tournent le dos à Veeam et Veritas pour basculer vers Bacula.

Avril 2026●10 min de lecture

Pendant des années, la sauvegarde a été la tâche ingrate du datacenter. Celle qu'on configurait un vendredi après-midi, qu'on validait avec quelques coches vertes, et qu'on ne regardait plus jusqu'à ce qu'un pépin arrive. On est tous passés par là.

Cette négligence confortable n'est plus tenable. Le serveur de sauvegarde est désormais la première chose que les groupes de ransomware modernes cherchent à neutraliser, et la raison est brutalement simple : s'ils le font tomber avant de chiffrer quoi que ce soit, votre entreprise n'a plus d'issue. Vous payez, ou vous perdez les données. Et pendant ce temps, Veeam, Veritas et Commvault continuent de facturer au téraoctet. Veeam en particulier a annoncé des hausses de 4 à 8 % chaque année, et certains clients rapportent des augmentations cumulées de 25 % ou plus sur quatre ans. Il existe une alternative que la plupart des équipes IT n'ont pas encore prise au sérieux.

Le contexte 2026

Votre sauvegarde n'est plus la dernière ligne de défense. Elle est la première victime.

Fin mars, Bacula Systems a publié deux articles qui résument bien où en est la discussion aujourd'hui. Le premier explique pourquoi l'infrastructure de sauvegarde est une cible plus précieuse pour un attaquant qu'un compte d'administrateur de domaine, et le second pourquoi le Zero Trust s'effondre au niveau de la couche de sauvegarde. Rien de tout cela n'est une nouveauté pour les équipes de réponse aux incidents — elles le répètent depuis deux ans. Mais le fait de le voir noir sur blanc change des conversations de comité de direction qui étaient auparavant impossibles à tenir.

Quand un client nous appelle pour gérer un incident, le schéma qu'il nous décrit est presque toujours le même, à quelques variations près :

Jour 1-3 Accès initial (phishing, VPN, 0-day) Jour 4-10 Reconnaissance + élévation de privilèges Jour 11-14 Localisation et compromission du serveur de sauvegarde Jour 15 Effacement des catalogues et des dépôts Jour 16 Lancement du chiffrement massif Jour 17 Note de rançon sur l'intranet

Regardez cette frise un instant. L'attaquant passe plus de jours à neutraliser la sauvegarde qu'à lancer le chiffrement lui-même. Ce n'est pas une erreur de sa part. Il sait très bien que si la sauvegarde survit, la victime ne paie pas, et toute l'opération perd son intérêt économique. C'est de la comptabilité criminelle froide.

C'est pour cela que la question "est-ce qu'on a des sauvegardes ?" ne vaut plus comme réponse à quoi que ce soit. La question vraiment utile est inconfortable : ces sauvegardes seraient-elles impossibles à détruire, même pour quelqu'un qui aurait déjà des identifiants d'administrateur sur votre réseau ? Si vous devez y réfléchir, la réponse honnête est sans doute non.

Le chiffre qui dérange. Les rapports de résilience publiés au long de 2025 indiquent que plus d'un tiers des organisations victimes de ransomware découvrent, en pleine crise, que leurs sauvegardes ont aussi été touchées. Et voici la partie qui nous hante : dans la grande majorité de ces cas, le système de sauvegarde "fonctionnait parfaitement" la veille. Tableau de bord vert, e-mails quotidiens de succès, dernière copie à trois heures du matin. Tout allait bien. Jusqu'au moment où ce n'était plus le cas.

Le contexte réglementaire

La directive NIS2, transposée dans les droits nationaux européens en 2024 et appliquée activement depuis 2025, rend la résilience du système d'information un sujet obligatoire pour un périmètre beaucoup plus large qu'auparavant. La sauvegarde immuable et la capacité à démontrer une reprise d'activité effective ne sont plus seulement de bonnes pratiques — elles deviennent progressivement une exigence de conformité. Si votre organisation tombe dans le périmètre NIS2, l'architecture de sauvegarde est un sujet qui va remonter au comité de direction, que vous le vouliez ou non.

La bonne définition

Ce que "sauvegarde immuable" veut vraiment dire

Avertissement : "sauvegarde immuable" est devenu un slogan marketing. À peu près tous les éditeurs prétendent en proposer une, et la plupart désignent des choses radicalement différentes. Soyons donc précis sur ce dont on parle ici.

Une sauvegarde est véritablement immuable quand, une fois qu'elle a été écrite, personne ne peut la modifier ni la supprimer avant l'expiration de sa rétention. Personne. Ni l'utilisateur qui l'a créée, ni votre DBA avec des identifiants valides, ni vous-même avec le compte root, ni un attaquant qui aurait déjà compromis le serveur de sauvegarde. Si l'une de ces personnes peut détruire la copie, la copie n'est pas immuable. C'est juste une sauvegarde ordinaire avec une belle étiquette dessus.

Pour obtenir cette garantie en pratique, il existe trois approches sérieuses, et Bacula les supporte toutes les trois :

Mécanisme	De quoi il s'agit	À quoi ça sert
WORM sur bande LTO	Cartouches LTO en mode Write-Once-Read-Many. Le firmware du lecteur refuse physiquement toute réécriture.	Air-gap réel. On sort la bande de la bibliothèque, on la met en coffre, et on l'oublie. Aucun réseau ne l'atteint.
Object Lock sur S3 / Ceph	Objets verrouillés via l'API avec une rétention liée à l'objet. Même le root du bucket ne peut pas y toucher.	Immuabilité pour le stockage objet. Compatible avec MinIO, Ceph RGW, AWS S3, Azure Blob.
Systèmes de fichiers append-only	ZFS ou Btrfs avec des snapshots que le processus de sauvegarde lui-même ne peut ni modifier ni supprimer.	Première ligne de défense sur disque local. Utile pour les petits environnements, mais pas un substitut à l'air-gap réel.

La règle que de nombreux RSSI adoptent discrètement en ce moment s'appelle 3-2-1-1-0. Vous l'avez peut-être déjà croisée : trois copies, sur deux supports différents, une hors-site, une immuable, et zéro erreur lors de la vérification. Ce "1-0" est exactement ce qui a changé par rapport au classique 3-2-1 que nous avons tous connu. Avoir des copies ne suffit plus — elles doivent être inaltérables, et elles doivent être vérifiées automatiquement sans que personne n'ait à y penser. Et voici le point important : Bacula fait ces deux choses dans son cycle de fonctionnement normal. Ce n'est pas un module premium vendu à part.

Pourquoi la bande redevient sérieuse

En janvier, le consortium LTO a présenté LTO-10 : 30 ou 40 To natifs par cartouche (jusqu'à 100 compressés), 400 Mo/s, et le même air-gap physique que LTO-1 il y a 25 ans. La bande reste la seule technologie de sauvegarde où un attaquant avec root sur votre serveur Bacula ne peut littéralement pas atteindre la donnée, parce que la donnée n'est reliée à rien. Chez SIXE, nous voyons depuis deux ans des clients qui avaient mis leurs bibliothèques LTO à la casse revenir acheter du matériel neuf. Ce n'est pas de la nostalgie — c'est un calcul de risque.

Bibliothèque de bandes LTO dans un rack de datacenter utilisée comme stockage immuable air-gap pour des sauvegardes Bacula — Une bibliothèque LTO moderne — le seul endroit où le ransomware n'atteint pas vraiment la donnée.

Pourquoi Bacula

Pourquoi Bacula colle si bien à ce scénario

Bacula protège des données depuis plus de vingt ans dans des banques, administrations publiques, hôpitaux, opérateurs télécom et centres de données scientifiques à l'échelle du pétaoctet. C'est probablement le logiciel de sauvegarde d'entreprise open source le plus mature qui existe, et ce n'est pas nous qui le disons — ce sont les installations qui tournent depuis les années deux mille, et ce sont les clients de l'éditeur qui lui confient leur donnée critique depuis vingt ans. La version commerciale actuelle est Bacula Enterprise 18.0.8, qui apporte des choses qui auraient semblé de la science-fiction il y a cinq ans : BGuardian pour détecter l'empoisonnement du catalogue, un tableau de bord de sécurité dans BWeb, le support natif de Microsoft 365 et Azure, un plugin Nutanix AHV, les snapshots CSI de Kubernetes.

Mais la vraie raison pour laquelle Bacula tient aussi bien face aux ransomwares modernes, ce ne sont pas les nouveaux plugins. Ce sont des choix de conception que le projet a faits il y a vingt ans et qui, avec le recul, ont très bien vieilli :

Architecture distribuée par conception. Director, catalogue, storage daemons et clients sont tous des processus distincts. Ils peuvent vivre sur des hôtes différents, avec des identifiants différents, sur des segments réseau différents. Compromettre l'un ne donne pas accès aux autres — loin de là.
Catalogue dans une vraie base de données. PostgreSQL ou MySQL avec leurs propres sauvegardes, leurs propres contrôles d'accès, leurs propres journaux d'audit. Vous pouvez le répliquer, le mettre derrière son propre pare-feu, le traiter comme l'actif critique qu'il est réellement. Ce n'est pas un fichier binaire perdu dans /var.
Vérification automatique du contenu. Bacula relit périodiquement les volumes et compare les checksums. Si quelque chose a été altéré — par une main humaine, par un secteur disque défectueux, par un bug matériel bizarre — vous le savez bien avant d'avoir besoin du restore d'urgence. Ça paraît ennuyeux sur le papier, mais c'est la différence entre une frayeur et une catastrophe.
Open source authentique, sans petits caractères. Le format des volumes est documenté. Si SIXE disparaît demain, ou si Bacula Systems disparaît, vos sauvegardes restent récupérables avec les outils open source de la communauté. Ce n'est pas quelque chose qu'on peut dire de beaucoup d'autres éditeurs.
LTO, Object Lock et air-gap, intégrés depuis toujours. Ces mécanismes ne sont pas un ajout récent parce que les ransomwares sont devenus à la mode. Ils sont la façon naturelle d'exploiter Bacula depuis des décennies. Quand le reste du marché a redécouvert que la bande comptait à nouveau, Bacula en était déjà là depuis longtemps.

┌────────────────────────────────────────────────┐ │ Bacula Director │ │ (orchestration + catalogue) │ └───────┬────────────┬────────────┬──────────────┘ │ │ │ ┌────▼────┐ ┌─────▼─────┐ ┌────▼─────┐ │ Clients │ │ Storage │ │ Catalog │ │ Linux │ │ Daemons │ │ Postgres │ │ VMware │ │ │ │ │ │ Proxmox │ │ → LTO WORM│ │ │ │ IBM i │ │ → Ceph S3 │ │ │ │ DB2 │ │ → Disk ZFS│ │ │ └─────────┘ └───────────┘ └──────────┘

Le volet financier

Pourquoi Bacula devient moins cher chaque année (et pas les autres)

L'écart de prix entre Bacula et les gros éditeurs propriétaires n'est pas une histoire de remise de couloir. Il tient au modèle de licensing lui-même. Veeam, Veritas NetBackup et Commvault facturent tous en fonction de la quantité de données protégées, du nombre d'hôtes, ou d'une combinaison créative des deux. Le résultat est toujours le même : quand votre entreprise grandit, votre facture de sauvegarde grandit au même rythme. Et les entreprises grandissent chaque année.

Bacula Systems, de son côté, licencie par nombre de clients et par plugins activés. Le prix reste stable même si le volume de données double. La première fois qu'un DAF prend conscience de ça dans une réunion avec nous, le silence autour de la table est assez parlant.

Et la situation se durcit de l'autre côté. Veeam a annoncé des hausses de prix de 4 à 8 % pour janvier 2025 et janvier 2026, et ce n'est que le chiffre officiel — sur les forums Veeam, certains clients rapportent des augmentations cumulées de 25 % ou plus entre 2021 et 2024, avec des renouvellements individuels à +49 %. On commence à voir dans la presse tech des comparaisons avec ce que Broadcom a fait à VMware après l'acquisition. Elles ne sont pas infondées.

Modèle	Ce que vous payez	Ce qui se passe quand vous grandissez
Veeam	Par workload protégé, par socket, ou par instance	Augmente avec le nombre d'hôtes — plus 4-8 % chaque année
Veritas NetBackup	Par capacité front-end (To protégés)	Augmente avec le volume de données
Commvault	Mélange de capacité et de modules activés	Augmente avec les deux simultanément
Bacula Enterprise	Par nombre de clients et plugins	Stable. Les données doublent, le coût ne bouge pas.
Bacula Community + SIXE	Logiciel gratuit + heures de nos ingénieurs	Vous ne payez que ce que vous utilisez de notre équipe.

Dans les migrations que nous avons menées depuis Veeam ou Veritas, l'économie annuelle de la première année se situe typiquement entre 60 % et 85 %. Le point idéal se trouve dans les environnements de taille moyenne, entre 20 et 200 To protégés — c'est là que la tarification à la capacité fait le plus mal et que Bacula brille le plus clairement. Et l'écart se creuse d'année en année, parce que votre donnée continue de grandir et que Bacula ne vous pénalise pas pour ça.

Une précision sur les chiffres. L'économie réelle dépend de votre contrat actuel, de votre nombre d'hôtes, des modules que vous utilisez, de votre empreinte de stockage. Il n'y a pas de chiffre magique. Ce que nous faisons chez SIXE, c'est prendre votre facture annuelle actuelle et la mettre en parallèle avec une estimation réaliste de Bacula plus notre support, avec vos vrais chiffres, avant que vous ne vous engagiez sur quoi que ce soit. Et si l'économie ne justifie pas le mouvement, nous vous le disons. Ça nous a valu pas mal d'amis.

L'implémentation

Comment concevoir un Bacula qui résiste à une attaque

Installer Bacula n'est pas la partie difficile. Concevoir un Bacula qui survit à quelqu'un qui a déjà root à l'intérieur de votre réseau — c'est là que commence la vraie ingénierie. Voici les cinq décisions d'architecture qui font la différence entre une sauvegarde qui sauve l'entreprise et une qui tombe avec elle :

1. Séparer le plan de contrôle du plan de données

Le director Bacula et son catalogue PostgreSQL ne devraient pas vivre sur le même réseau que les clients qu'ils protègent. Il faut un réseau d'administration séparé, avec ses propres règles, son propre MFA, et idéalement une architecture zero-trust appliquée aux serveurs de sauvegarde eux-mêmes. Ça paraît évident — et pourtant nous le voyons mal fait la plupart des fois que nous auditons une installation existante.

2. Au moins deux dépôts vraiment indépendants

Un dépôt rapide sur disque, ou sur Ceph avec Object Lock, pour les restores du quotidien. Et un second dépôt air-gap pour la rétention longue : bande LTO, ou un cluster Ceph physiquement isolé dans un autre site, ou les deux. La règle 3-2-1-1-0 n'est pas une suggestion optionnelle, c'est le minimum vers lequel il faut raisonnablement viser. Si votre plan de sauvegarde actuel tient dans un seul dépôt, vous avez un problème.

3. Vérification automatique. Activez-la vraiment.

Bacula permet de planifier des jobs qui relisent les volumes et comparent les checksums. Activez-les. Sérieusement. C'est la seule façon de détecter une altération, une dégradation du support, ou une erreur matérielle bizarre avant de la découvrir le pire jour possible — le jour où vous avez besoin d'un restore d'urgence. Notre recommandation habituelle est au minimum hebdomadaire, plus fréquent quand l'infrastructure le supporte.

4. Des rétentions qu'on ne peut pas raccourcir à la main

Les durées de rétention sont définies dans le director et "scellées" au moment de l'écriture sur un volume immuable. Une fois qu'un volume a été écrit sur une bande WORM ou dans un bucket Object Lock actif, il n'existe aucune console Bacula ni aucun client de base de données qui puisse réduire cette rétention. Ce volume va exister jusqu'à son expiration, point final. C'est exactement ce qui protège votre sauvegarde contre un insider malveillant ou un attaquant avec des identifiants valides.

5. Un plan de reprise écrit et réellement testé

Une sauvegarde qu'on ne restaure jamais n'existe pas. Bacula rend la partie restore plutôt agréable à opérer, mais répéter l'exercice sérieusement — avec des minutages, des responsables, des points de décision — c'est le travail de l'équipe. Chez SIXE, nous l'intégrons au Plan de Rétablissement en cas de Catastrophe du client, avec des exercices programmés au moins deux fois par an. Il n'y a pas de raccourci sur ce point.

Là où la plupart des projets s'arrêtent

Ces cinq points sont exactement l'endroit où quasiment tous les projets Bacula qu'on nous demande d'auditer se sont arrêtés à mi-chemin. Rien de tout ça n'est activé par défaut — ce sont des décisions d'ingénierie qui dépendent de votre infrastructure concrète, de votre cadre réglementaire, du nombre de personnes qui touchent à la sauvegarde, de votre budget. Quand SIXE entre dans un projet Bacula, c'est littéralement ce que nous faisons. Et c'est généralement la partie qui apporte le plus de valeur, bien plus que l'installation du paquet en elle-même.

La migration

Migrer depuis Veeam ou Veritas sans perdre un seul octet

L'objection qu'on nous fait lors du premier appel est presque toujours mot pour mot la même : "on a sept ans d'historique dans Veeam, on ne peut pas se permettre de le perdre". Et ils ont entièrement raison. Dans la banque, la santé, l'administration publique, ou tout environnement régi par le RGPD, ISO 27001, NIS2 ou des référentiels sectoriels, la rétention longue n'est pas une préférence — c'est une obligation légale. La bonne nouvelle, c'est qu'il n'y a aucune raison technique de perdre quoi que ce soit. Il suffit de concevoir la migration calmement.

Chez SIXE, nous procédons en trois phases :

Fenêtre de coexistence. On laisse l'ancien système tourner à pleine puissance, faisant ses sauvegardes quotidiennes comme avant. Bacula commence à protéger en parallèle. Pendant quelques semaines, vous avez une couverture double et un risque nul. Ça rassure aussi pas mal les équipes sécurité qui fronçaient les sourcils au départ.
Des restores réels avant d'éteindre quoi que ce soit. C'est ici qu'on gagne ou qu'on perd une migration. On ne fait pas le classique test de restore sur une VM témoin — on restaure des charges qui feraient vraiment mal si elles échouaient. Une base de données critique. Un serveur de fichiers sous contrainte réglementaire. Quand ces restores valident que la conception de Bacula couvre bien le scénario, on passe à la phase suivante. Pas avant.
Archive historique en lecture seule. L'historique de l'ancien système n'est pas touché. Il reste accessible aussi longtemps que votre politique de rétention l'exige, en lecture seule, comme une archive vivante. Si on vous demande un fichier de 2023 l'année prochaine, il est toujours là. Et Bacula s'occupe de tout ce qui est nouveau en parallèle.

C'est honnêtement l'un des services qu'on nous demande le plus en ce moment. Le cocktail est parfait : les hausses de prix propriétaires qui s'enchaînent chaque année, la pression nouvelle autour de la sauvegarde immuable, et la prise de conscience progressive que la sauvegarde était dans la pile "risque non traité" depuis bien trop longtemps. Si vous voulez voir le détail complet du service — SLAs, cas d'usage, exemples sectoriels — tout est là : Support technique et migration vers Bacula.

Prochaines étapes

Par où commencer dès aujourd'hui

Si vous êtes arrivé jusqu'ici et que vous vous dites "il faudrait vraiment qu'on regarde notre sauvegarde de plus près", vous avez sans doute raison. Pas besoin de lancer un gros projet pour faire le premier pas. Honnêtement, ce qui est le plus utile, c'est généralement un audit court qui répond honnêtement à trois questions :

Est-ce que mes sauvegardes sont vraiment immuables ? Si un attaquant avait des identifiants d'admin sur mon réseau maintenant, pourrait-il les détruire ?
Sont-elles vérifiées automatiquement ? Ou est-ce que je ne saurai qu'elles sont corrompues que le jour où j'en aurai vraiment besoin ?
Combien est-ce que je paie par To protégé par an, et à quoi ressemblera cette facture dans trois ans ?

Vous pouvez répondre aux trois avec votre équipe actuelle, sans appeler personne. Et si l'une des réponses vous met mal à l'aise, parlons-en. Sans commercial, sans slides, directement avec quelqu'un de l'équipe technique qui a déjà mis les mains dans des projets comme le vôtre.

Pour aller plus loin

10 erreurs d'architecture et de ROI dans l'exode post-VMware — un autre cas où le licensing propriétaire force à revoir des décisions qu'on avait laissées de côté pendant des années
Migration de VMware vers Proxmox VE — Bacula s'intègre naturellement avec Proxmox pour une sauvegarde cohérente au niveau VM, et les deux projets vont souvent de pair
Support technique Ceph — si votre dépôt immuable va être un Ceph avec Object Lock, c'est l'autre moitié de notre spécialité

Votre sauvegarde tiendrait-elle aujourd'hui ?

Regardons votre architecture de sauvegarde ensemble

Sans commerciaux, sans présentations génériques, sans engagement. Un appel technique avec quelqu'un de l'équipe SIXE pour voir où vous en êtes et ce qui vaut vraiment la peine d'être touché. Si Bacula colle, nous vous le dirons. Sinon aussi.

Support Bacula SIXE → WhatsApp

Contact Assistance d'urgence 24/7 Bacula.org