En ce début d’année 2026, le secteur financier et ses partenaires technologiques ne parlent plus seulement de « sauvegarde » comme d’une simple tâche d’administration système en fin de journée. Avec l’entrée en vigueur effective du règlement DORA (Digital Operational Resilience Act), la sauvegarde est devenue la pièce maîtresse de la résilience opérationnelle. Pour les DSI et les responsables d’infrastructure, le défi est de taille : transformer un empilement de solutions héritées en une forteresse inattaquable capable de garantir la continuité d’activité en cas de crise majeure.
Le changement de paradigme imposé par DORA
Pendant des années, la stratégie de sauvegarde consistait à copier des données sur un support secondaire en espérant ne jamais avoir à s’en servir. Mais en 2026, dans un paysage de menaces où le ransomware n’est plus une éventualité mais une certitude statistique, cette approche passive est devenue un risque juridique et financier majeur.
Le règlement DORA impose aux entités financières (et par extension à leurs prestataires IT critiques) non seulement de protéger leurs données, mais de garantir une résilience opérationnelle numérique. Cela signifie que vous devez être capable de prouver, à tout moment, que vos systèmes peuvent absorber un choc, se rétablir rapidement et continuer à fournir des services essentiels. Dans ce contexte, la modernisation de l’infrastructure de sauvegarde n’est plus une option technique, c’est une obligation de conformité stratégique.
I. Comprendre les piliers de DORA pour l’infrastructure
DORA s’articule autour de cinq piliers, dont la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication) et les tests de résilience opérationnelle. Pour la sauvegarde, cela se traduit par trois exigences fondamentales :
- La disponibilité permanente : Les données doivent être récupérables immédiatement pour assurer la continuité des processus métiers.
- L’intégrité absolue : La sauvegarde doit être protégée contre toute altération, qu’elle soit accidentelle ou malveillante.
- La traçabilité et le test : Il ne suffit plus de « faire » des sauvegardes, il faut documenter leur succès et tester leur restauration en conditions réelles.
Cette rigueur opérationnelle nécessite un alignement parfait entre les outils et les processus. Comme nous l’avons souligné dans notre article sur le Guide Complet de l’ITSM pour les Décideurs Informatiques, l’efficacité des opérations informatiques repose sur une gestion structurée. Sous DORA, votre « gestion des changements » et votre « gestion des incidents » doivent inclure systématiquement le volet sauvegarde et restauration.
II. Sécurité : Le stockage immuable et l’Air-Gap comme boucliers
Le premier volet de la modernisation concerne la protection physique et logique des données. En 2026, la sauvegarde est la cible numéro 1 des cyber-attaquants. S’ils chiffrent vos serveurs de production et vos sauvegardes, votre entreprise est condamnée.
1. L’immuabilité (WORM)
Le concept de stockage immuable (Write Once, Read Many) est devenu le standard. Une fois écrite, la donnée ne peut être ni modifiée ni supprimée pendant une période définie, même par un administrateur dont les identifiants auraient été compromis. Cette « immuabilité logique » est la réponse directe aux ransomwares qui tentent d’effacer les points de restauration avant de déclencher l’attaque.
2. Le Air-Gap et l’isolation
DORA encourage la mise en place de mécanismes d’isolation. L’Air-Gap consiste à déconnecter physiquement ou logiquement les sauvegardes du réseau principal. En cas d’infection massive du réseau, la « bulle de sauvegarde » reste saine.
L’usage de l’intelligence artificielle commence ici à jouer un rôle clé. Pour détecter des comportements anormaux lors de l’ingestion des données de sauvegarde (par exemple, un taux de changement de fichiers inhabituellement élevé qui trahirait un chiffrement en cours), l’IA est un allié précieux. Nous rappelions d’ailleurs en 2025 que l’intégration de l’Intelligence Artificielle dans la cybersécurité est un impératif pour anticiper ces menaces avant qu’elles n’atteignent le cœur de votre infrastructure.
III. Infrastructure : Vers le DRaaS et le Cloud Hybride
Le deuxième volet concerne la rapidité de reprise. DORA ne vous juge pas sur votre capacité à stocker des téraoctets, mais sur vos indicateurs RTO (Recovery Time Objective) et RPO (Recovery Point Objective).
1. Le Disaster Recovery as a Service (DRaaS)
Pour atteindre des RTO de quelques minutes, les infrastructures traditionnelles sur site montrent leurs limites. Le DRaaS permet de répliquer vos serveurs critiques dans un cloud souverain prêt à prendre le relais instantanément. En 2026, la modernisation passe par l’automatisation de ce basculement (failover) et du retour à la normale (failback).
2. La résilience par le Cloud Hybride
Le stockage hybride permet de conserver des sauvegardes locales pour les restaurations rapides de fichiers, tout en déportant une copie immuable dans un cloud distant pour la reprise après sinistre. Cette architecture répond parfaitement à l’exigence de DORA concernant la « diversité géographique » des données.
IV. Applications Métiers : Garantir la consistance des données
La sauvegarde ne concerne pas que des fichiers ou des machines virtuelles (VM). Elle concerne surtout les applications qui font tourner le business (ERP, CRM, bases de données financières).
1. Sauvegarde au niveau applicatif
Pour être conforme à DORA, une sauvegarde doit être « consistante ». Restaurer une base de données qui ne redémarre pas à cause d’une désynchronisation des transactions est un échec opérationnel. La modernisation implique l’utilisation d’outils capables de communiquer nativement avec les applications métiers pour figer les écritures le temps de la copie.
2. Le défi du SaaS et du Cloud Natif
Beaucoup d’entreprises oublient que les données stockées dans des applications SaaS (Microsoft 365, Salesforce, etc.) ne sont pas nativement protégées contre la suppression malveillante ou l’erreur humaine par l’éditeur. DORA rappelle la responsabilité de l’entité financière sur l’ensemble de ses données, quel que soit l’hébergeur. Moderniser son infrastructure signifie donc intégrer des solutions de sauvegarde Cloud-to-Cloud pour sécuriser son patrimoine applicatif externe.
V. Moderniser sans exploser les coûts : L’approche FinOps et Process
La mise en conformité DORA peut rapidement devenir un gouffre budgétaire si elle n’est pas pilotée finement.
1. Rationaliser pour économiser
Moderniser ne veut pas dire tout racheter. Cela commence par le nettoyage des données inutiles. Une politique de rétention stricte permet de réduire le volume à sauvegarder, et donc les coûts de stockage immuable (plus onéreux).
2. L’ITSM au service du ROI de la résilience
Comme évoqué dans notre Guide complet de l’ITSM, l’efficacité opérationnelle permet de réduire les coûts cachés liés aux erreurs manuelles. Sous DORA, l’automatisation des tests de restauration réduit le temps passé par les équipes techniques et garantit un succès systématique, évitant ainsi des interventions d’urgence coûteuses lors des audits réglementaires.
VI. Roadmap de mise en œuvre : 5 étapes clés pour 2026
Pour les décideurs souhaitant moderniser leur infrastructure dès ce trimestre, voici la marche à suivre :
- Audit de résilience : Mesurez vos RTO/RPO actuels face aux exigences métiers réelles. Ne sur-spécifiez pas la protection des serveurs non-critiques.
- Choix de l’immuabilité : Adoptez une solution de stockage WORM, de préférence déconnectée logiquement du domaine Active Directory principal.
- Modernisation du socle logiciel : Migrez vers des solutions de sauvegarde « Data Management » capables de gérer l’on-premise, le cloud et le SaaS depuis une console unique.
- Tests de restauration automatisés : Mettez en place des scripts de vérification hebdomadaires. Une sauvegarde non testée n’existe pas aux yeux de DORA.
- Formation et Gouvernance : Impliquez les responsables métiers dans la définition des priorités de restauration. La technique doit suivre le besoin business.
De la contrainte à l’avantage compétitif
Le règlement DORA est souvent perçu comme une énième couche administrative. Pourtant, pour les DSI visionnaires, c’est l’opportunité de purger la dette technique liée à la sauvegarde. Une infrastructure modernisée, sécurisée par l’IA et pilotée par des processus ITSM rigoureux, ne se contente pas de satisfaire un régulateur. Elle devient un argument commercial de poids.En 2026, être capable de dire à ses clients : « Nos systèmes sont résilients par design, nos données sont immuables et nous garantissons une reprise en moins d’une heure » est la plus belle preuve de sérieux qu’une entreprise technologique puisse offrir. La modernisation de la sauvegarde n’est pas qu’un projet d’infrastructure ; c’est le socle de la confiance numérique de demain.
![[Webinar] ITSM : de centre de coûts à levier stratégique pour l’entreprise](https://www.communautes-it.com/wp-content/uploads/2025/04/46-400x250.png)
![[Salon IT] SITL 2026](https://www.communautes-it.com/wp-content/uploads/2024/10/18-2-400x250.png)
![[Salon IT] INCYBER (ex-FIC)](https://www.communautes-it.com/wp-content/uploads/2024/02/54-400x250.png)
![[Fiche pratique] La mesure de la performance économique du SI à l’ère des services Cloud](https://www.communautes-it.com/wp-content/uploads/2023/11/72-400x250.png)
![[Fiche pratique] L’Observabilité : Une nouvelle culture de la mesure et de la performance](https://www.communautes-it.com/wp-content/uploads/2023/11/67-400x250.png)
![[Essentiel] Synthèse de la matinale CRiP IoT / Convergence IT-OT](https://www.communautes-it.com/wp-content/uploads/2023/11/66-400x250.png)
![[Essentiel] Synthèse de la matinale CRiP Digital Workplace](https://www.communautes-it.com/wp-content/uploads/2023/11/77-400x250.png)
![[Essentiel] Synthèse de la matinale CRiP Cloud](https://www.communautes-it.com/wp-content/uploads/2023/11/100-400x250.png)
![[Essentiel] Synthèse de la matinale CRiP ITSM / IT for IT](https://www.communautes-it.com/wp-content/uploads/2023/11/65-400x250.png)