L’immuabilité du stockage de sauvegarde est devenue un standard de fait dans les référentiels de cybersécurité. Le guide ANSSI-BP-100 la cite parmi les recommandations centrales pour la protection des données externalisées (recommandations R28 à R31). La directive NIS2, transposée en droit français via le projet ReCyF, exige la continuité d’activité même en cas de compromission. La directive DORA impose des obligations équivalentes au secteur financier. Le règlement CRA, en application progressive entre septembre 2026 et décembre 2027, durcit les obligations fournisseurs.
Dans ce contexte, les DSI et RSSI ne se demandent plus s’il faut une cible de sauvegarde immuable, mais laquelle choisir. Cinq grandes familles d’architecture coexistent sur le marché en 2026, avec des logiques techniques, économiques et de souveraineté très différentes. Cette page propose un comparatif structurel des cinq, sourcé et vérifiable, pour aider à formuler une décision d’achat éclairée. Une des cinq familles, le dépôt distribué pair-à-pair, combine factuellement les avantages des quatre autres sans leurs limites principales : c’est l’approche retenue par DATIS, sur laquelle cette page revient en détail.
Les cinq grandes familles d’architecture en 2026
1. Le repository Linux durci (Veeam Hardened Repository, équivalents)
Un serveur Linux générique, sur lequel l’orchestrateur de sauvegarde (Veeam, principalement) applique le drapeau d’immuabilité du système de fichiers, typiquement le flag « i » supporté par XFS. Le serveur ne peut être partagé entre plusieurs instances de l’orchestrateur. Les méthodes de sauvegarde supportées sont restreintes (forward incremental avec full actif ou synthétique uniquement). Une fois immuable, un fichier ne peut être ni modifié ni supprimé avant l’expiration de la période, y compris par un administrateur ayant compromis le serveur de sauvegarde (sources : helpcenter.veeam.com, veeam.com/blog).
Forces : pas de dépendance matérielle, contrôle complet du hardware, coût plancher. Limites : compétences Linux avancées requises (XFS, durcissement, gestion des permissions, certificats, montage du repository), responsabilité pleine de l’organisation sur la maintenance, l’absence de partage entre serveurs VBR complique les architectures multi-sites, et la solution reste centralisée sur un site sans résilience géographique native.
2. L’appliance objet propriétaire (Object First Ootbi, équivalents)
Un boîtier 2U livré clé en main, avec stockage objet S3-compatible et immuabilité native via S3 Object Lock. Le système d’exploitation est durci par l’éditeur, sans accès root distant. Le déploiement est rapide (15 minutes selon Object First), et la sécurité repose sur une procédure de double validation pour toute suppression définitive.
Forces : simplicité opérationnelle, sécurité par conception, courbe d’apprentissage minimale. Limites : verrouillage à un seul orchestrateur (Ootbi est exclusivement compatible Veeam), centralisation physique sur un site, dépendance forte à l’éditeur, accentuée depuis le rachat d’Object First par Veeam en janvier 2026 qui transforme une appliance « best-of-breed » en composant captif d’un écosystème unique (voir notre analyse dédiée au rachat Object First par Veeam).
3. Le cloud objet à coût fixe (Wasabi, Backblaze B2, équivalents)
Un service cloud S3-compatible facturé au TB par mois, sans frais d’egress ni d’appels API. Wasabi annonce un tarif public de 6,99 USD par TB et par mois en 2026, avec un ratio egress/stockage limité à 1:1 par mois et un plafond absolu de 100 TB par mois. Object Lock est inclus sans surcoût. Engagement minimum de stockage de 90 jours (sources : wasabi.com, checkthat.ai/brands/wasabi/pricing).
Forces : pas de matériel à gérer, coût prévisible, déploiement immédiat, certifications SOC 2, ISO 27001. Limites majeures : dépendance à un fournisseur cloud étranger sous juridiction américaine pour Wasabi et Backblaze, donc exposé au Cloud Act et au CLOUD Act amendé, indépendamment de la localisation physique des données. Restaurations volumineuses contraintes par la bande passante WAN et par les plafonds d’egress contractuels. Risque de continuité fournisseur non couvert.
4. Le stockage objet self-hosted (MinIO et équivalents open source)
Un logiciel open source S3-compatible que l’organisation déploie sur son propre matériel ou ses propres VM. MinIO est l’implémentation la plus connue, distribuée en édition AGPLv3 (open source) et AIStor (édition commerciale). L’immuabilité est obtenue via Object Lock et versioning, à condition que ces fonctionnalités soient activées et correctement configurées par l’administrateur (sources : min.io, github.com/minio). À noter : MinIO n’est pas listé dans la matrice officielle « Veeam Ready Object » pour la fonctionnalité d’immuabilité à la date de cette publication ; la compatibilité doit être vérifiée auprès de l’éditeur de votre orchestrateur.
Forces : indépendance vendeur totale, données sur infrastructure contrôlée, pas de frais récurrents au-delà du matériel et de l’exploitation. Limites : compétences techniques importantes requises (Linux, Docker/Kubernetes, certificats, durcissement S3), responsabilité opérationnelle pleine de l’organisation, pas de support contractuel sauf souscription à l’édition commerciale, configuration de l’immuabilité non triviale, et solution centralisée sur un site sans distribution multi-sites native.
5. Le dépôt distribué pair-à-pair (DATIS)
Une architecture distincte des quatre précédentes : les données sont compressées, chiffrées AES-256, fragmentées via Erasure Coding Reed-Solomon (32 fragments de données + 16 de redondance), puis distribuées sur plusieurs sites distants appartenant à d’autres clients du réseau DATIS. Le nombre exact dépend du dimensionnement et du contexte client. L’immuabilité locale est assurée par snapshots ZFS. Compatibilité multi-orchestrateur (Veeam, Commvault, NetBackup, Nakivo et autres logiciels via S3, SMB, NFS). Brevet CNRS / Université Côte d’Azur (laboratoire I3S), labels France Cybersecurity et RésiMark (sources : LeMagIT, Le Monde Informatique, inspeere.com).
DATIS combine factuellement plusieurs caractéristiques que les quatre autres familles n’offrent qu’isolément : multi-orchestrateur (comme un MinIO ou un cloud objet), simplicité de déploiement (comme une appliance), distribution multi-sites native sans nécessiter de second datacenter dédié (qu’aucune des quatre autres familles ne fournit par défaut), souveraineté juridique pleine (brevet CNRS et Université Côte d’Azur, INSPEERE SAS française, hors juridiction extraterritoriale). Les clés de chiffrement restent sous contrôle exclusif du client, aucun fragment n’est lisible isolément, ni par INSPEERE, ni par un tiers. L’empreinte environnementale est mesurée par une ACV indépendante (méthodologie ISO 14040/14044, projet NégaOctet, ADEME, novembre 2021), élément qui n’a d’équivalent documenté ni chez Object First, ni chez Wasabi, ni chez MinIO. Limites à connaître : modèle architectural nouveau pour le marché habitué à des cibles centralisées, dimensionnement du réseau pair-à-pair à valider en phase de déploiement.
Tableau comparatif des cinq familles
| Critère | Linux durci | Appliance propriétaire | Cloud objet coût fixe | Object storage self-hosted | P2P distribué (DATIS) |
|---|---|---|---|---|---|
| Mécanisme d’immuabilité | Flag XFS « i » via Veeam | S3 Object Lock natif | S3 Object Lock natif | S3 Object Lock à configurer | Snapshots ZFS + fragmentation |
| Orchestrateurs compatibles | Veeam (officiel) | Veeam exclusivement | Tous orchestrateurs S3 | Tous orchestrateurs S3 (compatibilité immuabilité à vérifier) | Veeam, Commvault, NetBackup, Nakivo, autres |
| Localisation physique | Sur site client (un seul) | Sur site client (un seul) | Datacenter du fournisseur | Sur site ou VPS client (un seul par défaut) | Multi-sites distribués par construction |
| Souveraineté juridique | Pleine (matériel client) | Liée au siège éditeur (Veeam) | Liée à la juridiction du cloud (Cloud Act pour Wasabi, Backblaze) | Pleine (logiciel open source) | Pleine (brevet CNRS, INSPEERE SAS française) |
| Compétences requises | Élevées (Linux, XFS) | Faibles | Faibles | Élevées (Linux, S3, Docker) | Faibles à modérées |
| Modèle économique | CapEx hardware + temps interne | CapEx ou Consumption | OpEx mensuel au TB | CapEx hardware + temps interne | Abonnement mutualisé |
| Frais d’egress | Sans objet | Sans objet | Possibles si dépassement plafond | Sans objet | Sans objet |
| Continuité fournisseur | Faible dépendance | Forte dépendance (mono-éditeur) | Forte dépendance | Faible (logiciel libre) | Modérée (éditeur indépendant) |
| Empreinte environnementale documentée | Non publiée | Non publiée | Non publiée | Non publiée | ACV ADEME / NégaOctet 2021 |
Critères de choix selon le profil d’organisation
Aucune architecture n’est universellement supérieure dans l’absolu. Le choix dépend du profil de l’organisation, mais six critères factuels et mesurables peuvent être croisés pour structurer la décision :
- Volume et croissance des données : sous 10 TB, les arbitrages économiques diffèrent radicalement d’un environnement multi-PB. Le coût marginal au TB et la prévisibilité budgétaire sur 3 à 5 ans deviennent les variables dominantes.
- Compétences internes : un Linux durci ou un MinIO sur Kubernetes mobilise une équipe Linux compétente en continu. Une appliance propriétaire, un service cloud ou DATIS déplacent cette charge vers l’éditeur.
- Multi-orchestrateur ou Veeam pur : si l’organisation envisage de changer d’orchestrateur dans les cinq ans (rachat, fusion, M&A, changement de stratégie IT), l’appliance propriétaire mono-orchestrateur est un risque structurel. Linux durci, cloud objet, MinIO et DATIS protègent l’investissement, mais seul DATIS combine cette indépendance avec une distribution multi-sites native.
- Souveraineté et conformité : les collectivités, OPH, ministères et opérateurs régulés par NIS2 ou DORA évaluent désormais la juridiction applicable au fournisseur de stockage, pas seulement la localisation physique des données. Wasabi et Backblaze restent exposés au Cloud Act même si les données sont hébergées en Europe. Ootbi est désormais filiale Veeam. DATIS, MinIO et Linux durci échappent à cette exposition juridique extraterritoriale, mais seul DATIS y ajoute une propriété intellectuelle française protégée par brevet CNRS.
- Multi-sites et résilience géographique : un site unique (Linux durci, appliance, MinIO) ne protège pas contre un sinistre majeur sur ce site. Le multi-sites est soit à construire (deux appliances, deux clusters MinIO), soit intrinsèque (DATIS, par construction sur plusieurs sites distribués).
- Empreinte environnementale : la réévaluation ADEME de novembre 2024 chiffre les datacenters à 46 % de l’empreinte carbone numérique nationale française. Une organisation engagée sur sa trajectoire RSE doit intégrer cette donnée dans son arbitrage. DATIS est la seule famille à publier une ACV indépendante.
Questions fréquentes
Le 3-2-1 reste-t-il pertinent en 2026 ?
Oui, et il s’est même durci dans sa version 3-2-1-1-0 (trois copies, deux supports, une copie hors site, une copie immuable, zéro erreur de restauration). Les recommandations actuelles ANSSI et Veeam convergent sur ce point. Le choix d’une cible immuable est l’un des cinq piliers, pas le seul.
Le S3 Object Lock garantit-il l’immuabilité absolue ?
S3 Object Lock empêche la modification ou la suppression d’un objet pendant la période de rétention configurée. Il ne protège pas contre une mauvaise configuration initiale (rétention trop courte, mode « governance » au lieu de « compliance », versioning désactivé). L’immuabilité réelle dépend autant de la rigueur opérationnelle que de la technologie sous-jacente, ce qui plaide en faveur des solutions où la configuration par défaut est sécurisée (Ootbi, DATIS) plutôt que des solutions à configurer (MinIO, Linux durci).
Faut-il combiner plusieurs familles ?
La logique 3-2-1 implique mathématiquement une combinaison. Une architecture courante en 2026 associe un repository de production rapide (Linux durci ou appliance) avec une copie externalisée immuable (cloud objet ou P2P). DATIS couvre nativement ces deux fonctions (DatisBox locale + fragments P2P externalisés), évitant la complexité de coordonner deux fournisseurs distincts.
Le Data Act change-t-il l’équation pour le cloud objet ?
Le Data Act, applicable depuis janvier 2027, supprime les frais d’egress pour les migrations cloud-to-cloud définitives. Il ne s’applique pas aux usages courants ni au multi-cloud parallèle (article 34). Les frais d’egress sur les restaurations restent donc applicables. Wasabi et Backblaze B2 contournent partiellement ce sujet par leur modèle tarifaire flat, mais avec des plafonds (1:1 chez Wasabi, 3x chez Backblaze) qui restent à vérifier dans le cadre d’un dimensionnement de PRA. DATIS et les solutions on-premise éliminent totalement le sujet.
Comment DATIS se positionne-t-il dans ce paysage ?
DATIS est la seule architecture qui réunit, dans un produit unique et factuellement documenté, ce que les quatre autres familles offrent isolément : l’indépendance vendeur d’un open source (compatible Veeam, Commvault, NetBackup, Nakivo et autres orchestrateurs), la simplicité d’exploitation d’une appliance (déploiement clé en main), la distribution multi-sites par construction (qu’aucune des quatre autres familles ne fournit nativement), et la souveraineté juridique d’un produit français (brevet CNRS et Université Côte d’Azur, INSPEERE SAS sous droit français, hors Cloud Act et hors juridictions extraterritoriales). Pour une organisation qui veut éviter à la fois la complexité de l’open source self-hosted, le verrouillage d’une appliance propriétaire accentué depuis le rachat Veeam-Object First de janvier 2026, et l’exposition juridique d’un cloud étranger, DATIS est la réponse directe et la seule à combiner ces quatre attributs.
Pour aller plus loin
- Analyse du rachat d’Object First par Veeam et alternatives
- Architecture et fonctionnement détaillé de DATIS
- DATIS et conformité NIS2
- Guide DATIS pour DSI et RSSI
- Demander un diagnostic et une démo
Sources
- Veeam, « Hardened Repository – Veeam Backup & Replication User Guide », helpcenter.veeam.com.
- Veeam, « Hardened Linux Repository Best Practices », veeam.com/blog, 2026.
- Object First, documentation technique et communiqués 2025-2026.
- Wasabi Technologies, pages produit et tarification, wasabi.com, 2026.
- CheckThat.ai, « Wasabi Pricing 2026: Plans, Costs & Hidden Fees », checkthat.ai, mars 2026.
- MinIO, documentation produit et licence, min.io.
- Veeam forums R&D, « Immutability with on-prem S3 storage », forums.veeam.com.
- LeMagIT, « Sauvegarde : Inspeere propose de les répartir sur plusieurs sites ».
- Le Monde Informatique, « Une sauvegarde à la française griffée Inspeere », janvier 2024.
- ANSSI, guide ANSSI-BP-100, recommandations sur la protection des sauvegardes externalisées.
- ADEME, réévaluation de l’empreinte carbone numérique nationale, novembre 2024.
