Copie immuable et sauvegarde hors ligne

Services

Copie immuable et sauvegarde hors ligne

Deux paliers d'immuabilité pour vos sauvegardes Proxmox : datastore immuable par sync job avec démontage (disponible aujourd'hui) et bande LTO air-gapped en coffre datacenter (accès anticipé clients français au troisième trimestre 2026).

Ce qui est inclus

Datastore immuable (disponible)

Sync job PBS en mode pull vers un second datastore démonté en dehors de la fenêtre de synchronisation. Inatteignable par votre token API.

LTO air-gapped (Q3 2026)

Bande LTO écrite via robot, sortie après écriture et conservée en coffre ignifugé à accès tracé. Accès anticipé pour les clients français.

Rétention indépendante

La cible immuable applique sa propre politique de rétention, pilotée par notre couche d'orchestration hors du périmètre client.

Conformité NIS2 et 3-2-1-1-0

Couche immuable vérifiable qui satisfait l'exigence ANSSI/NIS2 d'une copie résistant à la compromission interne.

Vérification d'intégrité chunk par chunk

Job proxmox-backup-manager verify planifiable sur la copie immuable à chaque cycle, alerte support en cas d'erreur.

Stockage UE souverain

Datacenters européens, opérateurs sous droit européen, chiffrement client AES-256 conforme RGPD article 32.

Datastore immuable disponible

Tier 1 : datastore immuable par démontage

Aujourd'hui, Cloud-PBS livre l'immuabilité par un second datastore PBS dédié, sur un volume séparé, démonté du système de fichiers du serveur PBS la plupart du temps. Un sync job PBS en mode pull monte le volume selon la fréquence définie, copie les nouveaux chunks depuis votre datastore de production, puis démonte le volume une fois la vérification terminée. Entre deux cycles, la copie immuable n'est ni listée par PBS, ni atteignable via votre token API.

  • Sync job PBS pull mode avec démontage automatique entre cycles
  • Token client scope sur le datastore de production uniquement
  • Disponible sur plans Dedicated et certains Shared sur demande
Modèle de menace

Vecteurs d'attaque couverts par le datastore immuable

Le démontage filesystem ferme quatre scénarios d'attaque : compromission du token API client, compromission du Proxmox VE qui a accès au datastore principal, erreur d'opération sur la cible de production, ransomware qui aurait obtenu un shell sur le serveur PBS. Aucun de ces vecteurs ne peut atteindre la copie immuable parce que son filesystem n'est pas monté au moment de l'attaque.

  • Token API client inutilisable contre la copie immuable
  • PVE compromis n'a aucune route vers la cible immuable
  • Ransomware sur PBS ne voit pas le filesystem de la copie
Conformité NIS2 article 21

Couche immuable vérifiable pour NIS2 et 3-2-1-1-0

La règle 3-2-1-1-0 recommandée par l'ANSSI, le NCSC et le CISA ajoute le "1" immuable à la règle 3-2-1 historique. NIS2 article 21 transposé en droit français exige une copie résistant à la compromission interne. Le datastore immuable Cloud-PBS produit cette propriété vérifiable côté audit, avec rapport d'opération mensuel détaillant les cycles de sync et les vérifications d'intégrité.

  • Rapport d'opération mensuel exploitable pour audit NIS2
  • Couche immuable distincte de la cible de production
  • Stockage opéré exclusivement en Union européenne
Tier 2 à venir

Tier 2 : LTO air-gapped en coffre datacenter (Q3 2026)

Pour deux scénarios extrêmes (opérateur cloud lui-même compromis, attaque persistante avancée patiente), il faut un tier physiquement déconnecté. Cloud-PBS prépare pour le troisième trimestre 2026 un palier d'archivage long terme structuré autour de bandes LTO : écriture via robot dédié, sortie du robot après écriture, conservation en armoire ignifugée à accès tracé, remontée sur demande pour restauration ponctuelle ou test PRA. L'accès anticipé est ouvert d'abord aux clients français, coffre LTO physiquement situé en France.

  • Vrai air-gap physique, bande sortie du robot après écriture
  • Accès anticipé clients français au troisième trimestre 2026
  • Coffre ignifugé à accès tracé, sous droit français

À qui s'adresse ce service ?

Mise en conformité NIS2

Opérateurs essentiels et importants qui doivent prouver une couche immuable de sauvegarde au régulateur. Le datastore immuable couvre l'exigence dès aujourd'hui.

Réponse à un audit assurance cyber

De plus en plus d'assureurs exigent une copie immuable comme prérequis à la couverture rançongiciel. Le rapport d'opération mensuel Cloud-PBS sert d'élément de preuve.

Reprise après ransomware

Quand un ransomware compromet PVE et tente d'effacer les snapshots de backup, la copie immuable reste intacte par construction. Restauration possible sur la dernière copie connue intègre.

Archivage long terme réglementaire

Conservation de données soumise à obligation pluriannuelle (santé, finance, donnée de connexion). La rétention de la copie immuable est pilotée hors du périmètre opérationnel quotidien.

Questions fréquentes

Quelle est la différence entre datastore immuable et LTO air-gapped ?
Le datastore immuable utilise un démontage filesystem comme air-gap logiciel : la copie existe sur disque mais n'est pas exposée au filesystem en dehors de la fenêtre de sync. Le LTO air-gapped est un air-gap physique : la bande est sortie du robot après écriture et conservée en coffre déconnecté. Les deux couvrent l'attaque externe ordinaire, le LTO couvre en plus la compromission de l'opérateur cloud lui-même et l'attaque persistante avancée.
Quand le tier LTO sera-t-il disponible ?
Accès anticipé pour les clients français au troisième trimestre 2026. Extension Allemagne dans la foulée sur le site partenaire de Francfort. Extension États-Unis conditionnée à la maturité du dispositif côté UE et à la demande exprimée.
Comment réserver une place en accès anticipé LTO ?
Contactez-nous avec "early access LTO" en sujet, en précisant votre périmètre actuel (volume sauvegardé, fréquence d'archivage souhaitée, contraintes réglementaires).
Le datastore immuable est-il un vrai air-gap ?
Non. C'est un air-gap logiciel : les disques restent connectés et alimentés, seul le filesystem est démonté entre cycles. Pour un vrai air-gap physique (bande LTO sortie du robot), il faut attendre le tier 2 au troisième trimestre 2026. Pour comprendre exactement ce que couvre le tier 1, voyez la page dédiée [Sauvegarde immuable](/fr/sauvegarde-immuable/) et la [documentation technique de l'architecture](/fr/docs/security/immutable-datastore-architecture/).
Le datastore immuable est-il facturé en supplément ?
Sur les plans Dedicated, l'option est incluse selon le forfait choisi. Sur les plans Shared, elle est disponible sur devis selon le volume sauvegardé et la fréquence de sync souhaitée.

Activez la couche immuable sur votre compte Cloud-PBS

Datastore immuable disponible aujourd'hui sur plans Dedicated et Shared sur demande. Préinscription LTO pour clients français au troisième trimestre 2026.

Demander l'activation