Chiffrement Proxmox Backup Server : activation côté client

Chiffrement Proxmox Backup Server : comment l'activer côté client

Activer le chiffrement côté client de Proxmox Backup Server depuis Proxmox VE : clés AES-256-GCM, configuration des datastores, restauration.

Dernière mise à jour: 21 mai 2026

Ce qu’est le chiffrement Proxmox Backup Server

Le chiffrement Proxmox Backup Server est côté client : chaque chunk de sauvegarde est chiffré sur votre hôte Proxmox VE en AES-256-GCM avant de quitter le réseau, puis stocké déjà chiffré sur le datastore PBS. Le serveur Proxmox Backup, et par extension Cloud-PBS, ne voit jamais vos données en clair.

Cette page décrit l’activation du chiffrement depuis Proxmox VE et les options de gestion de clé qui vont avec.

Le chiffrement est optionnel. Un datastore créé sans clé de chiffrement stocke les sauvegardes en clair (mais toujours dédupliquées et authentifiées). Vous pouvez activer le chiffrement par stockage PVE à tout moment ; les sauvegardes déjà poussées avant cette activation restent stockées sous leur forme d’origine.

Configuration depuis Proxmox VE

Une fois votre stockage configuré sur votre serveur Proxmox VE :

Dans le menu de gauche, sélectionnez Datacenter ⇒ Stockage ⇒ cloud-pbs.com.
Cliquez sur le bouton Modifier.

Dans le formulaire de modification :

Sélectionnez Chiffrement ⇒ Générer automatiquement une clé de chiffrement client ⇒ OK.

Configuration du chiffrement Cloud-PBS

Le formulaire suivant vous indique comment gérer la clé générée.

Gestion de la clé de chiffrement Cloud-PBS

Sauvegardez la clé dans votre gestionnaire de mots de passe. Chez Cloud-PBS, nous pensons que c’est la solution la plus simple. Cliquez sur Copier la clé, collez-la dans votre gestionnaire de mots de passe, c’est terminé.
Téléchargez la clé sur une clé USB. Utile pour stocker votre clé hors ligne. Copiez le fichier téléchargé sur un disque USB et placez ce support dans un coffre.
Imprimez-la (paperkey). La solution la plus sécurisée, mais la plus contraignante le jour où vous voudrez l’utiliser pour restaurer.

Vos sauvegardes sont désormais chiffrées côté client. À retenir : vous aurez besoin de la clé de chiffrement pour restaurer vos sauvegardes.

Questions fréquentes

Quel algorithme de chiffrement utilise Proxmox Backup Server ?

Proxmox Backup Server utilise AES-256-GCM pour le chiffrement côté client. Le chiffrement a lieu sur l’hôte Proxmox VE avant que les chunks ne soient envoyés sur le réseau, donc le serveur PBS ne stocke que des données déjà chiffrées.

Le chiffrement est-il activé par défaut dans Proxmox Backup Server ?

Non. Le chiffrement est optionnel par stockage. Un datastore créé sans clé reçoit des chunks non chiffrés (toujours dédupliqués et authentifiés, mais lisibles par quiconque a un accès admin au datastore). Vous pouvez activer le chiffrement par stockage PVE à tout moment.

Que se passe-t-il si je perds ma clé de chiffrement Proxmox Backup Server ?

Les sauvegardes chiffrées avec une clé perdue sont irrécupérables. Pas de récupération, pas de master key, pas d’override admin. C’est le principe même du chiffrement côté client : l’opérateur PBS (Cloud-PBS inclus) n’a pas accès à votre clé. Conservez-la dans au moins deux emplacements indépendants.

Où stocker la clé de chiffrement Proxmox Backup Server ?

Trois schémas qui fonctionnent bien :

Un gestionnaire de mots de passe partagé avec l’équipe propriétaire de l’hôte PVE.
Une impression papier conservée dans un coffre physique.
Une copie sur une clé USB hors ligne, géographiquement séparée de l’hôte PVE.

À éviter : stocker la clé sur l’hôte PVE lui-même. Un attaquant qui compromet l’hôte aurait à la fois les données et la clé.

Peut-on migrer un datastore non chiffré vers du chiffré ?

Vous ne pouvez pas chiffrer rétroactivement les sauvegardes déjà présentes, mais vous pouvez basculer un stockage en chiffré côté PVE. Les nouvelles sauvegardes partiront chiffrées ; les anciens snapshots non chiffrés restent lisibles jusqu’à leur purge. Pour un basculement propre, activez le chiffrement puis planifiez le pruning de la chaîne non chiffrée.

Le chiffrement empêche-t-il la déduplication ?

Non, tant que la même clé de chiffrement est utilisée. Proxmox Backup Server déduplique les chunks chiffrés sur la base de leur hash : deux chunks identiques chiffrés avec la même clé dédupliquent toujours. Des clés différentes produisent des chiffrés différents, donc pas de dédup inter-clés.

Pages liées

Restaurer une clé de chiffrement si vous avez une sauvegarde de votre clé et devez la réactiver sur un stockage PVE.
Changer le mot de passe de votre instance pour l’accès à l’interface web PBS.

Premiers pas

Sauvegarde

Restauration

Sécurité

Avancé

Support

Guides

Migration

Dépannage