Microsoft 365 est devenu le coffre de travail de nombreuses PME. On y trouve les mails, les pièces jointes, les fichiers clients, les dossiers SharePoint, les documents OneDrive, les réunions Teams, les calendriers et les boîtes partagées.
Tout est dans le cloud. Tout paraît accessible.
Mais attention : disponible ne veut pas dire sauvegardé.
Microsoft 365 peut fonctionner correctement alors qu’un mail important a été supprimé, qu’un dossier SharePoint a été écrasé, qu’un fichier OneDrive a été chiffré ou qu’une boîte partagée a été mal gérée.
La sauvegarde Microsoft 365 répond à une question très simple : si une donnée disparaît, pouvez-vous la restaurer rapidement, proprement, avec une preuve ?
Cet article est dédié aux PME de 10 à 50 utilisateurs, et explique quoi sauvegarder, quoi tester, comment distinguer corbeille, rétention, archivage et sauvegarde, et quoi demander à un prestataire dans le cadre d’une infogérance Microsoft 365.
Votre PME utilise Microsoft 365, mais vous ne savez pas précisément ce qui est sauvegardé ni si une restauration a déjà été testée ? Axorys peut créer, suivre et documenter la sauvegarde de votre environnement Microsoft 365.
Microsoft 365 est une plateforme cloud robuste.
Microsoft assure la disponibilité de ses services. C’est indispensable. Mais cela ne veut pas dire que toutes les données métier d’une PME sont restaurables dans toutes les situations.
Prenons un cas simple.
Outlook fonctionne. SharePoint répond. Teams est disponible. Mais un collaborateur supprime par erreur un dossier client. Ou un fichier OneDrive est corrompu. Ou une règle mal comprise efface des contenus plus tôt que prévu.
Le service Microsoft 365 est toujours disponible.
Le problème vient de la donnée.
Et c’est exactement là que la sauvegarde devient utile.
Certaines données supprimées peuvent être récupérées pendant un délai limité. Pour Exchange Online, Microsoft indique que la durée par défaut de conservation des éléments supprimés est de 14 jours, avec une possibilité de modification jusqu’à 30 jours selon la configuration.
Mais cette récupération native ne couvre pas tous les scénarios.
Microsoft 365 Backup permet de sauvegarder et restaurer des contenus OneDrive, SharePoint et Exchange Online à partir de points de restauration. Cela suppose toutefois des stratégies de protection à créer, gérer et vérifier.
La vraie question n’est donc pas : “Microsoft 365 est-il dans le cloud ?”
La vraie question est :
Que pouvons-nous restaurer, à quelle date, par qui, en combien de temps et avec quelle preuve ?
Pour découvrir l’univers Microsoft, consultez le guide principal Microsoft 365 pour PME et les autres ressources sur Microsoft 365 en PME.
Une sauvegarde Microsoft 365 PME commence par une étape simple : savoir ce qui est couvert.
Pas en théorie.
En pratique.
| Donnée Microsoft 365 | Exemple concret en PME | Risque de perte | Page Axorys liée |
|---|---|---|---|
| Exchange Online | Mails, pièces jointes, boîtes partagées | Mail supprimé, boîte non conservée, règle incorrecte | Dépannage Outlook et Exchange |
| SharePoint | Bibliothèques, dossiers clients, fichiers d’équipe | Dossier supprimé, fichier écrasé, droits modifiés | Administration SharePoint Microsoft 365 |
| OneDrive | Fichiers professionnels individuels | Données bloquées chez un utilisateur ou perdues après départ | Administration tenant Microsoft 365 |
| Teams | Fichiers, équipes, canaux, conversations | Périmètre mal compris, fichiers liés à SharePoint non identifiés | Guide Microsoft 365 pour PME |
| Groupes Microsoft 365 | Membres, droits, équipes associées | Droits difficiles à reconstruire après incident | Administration tenant Microsoft 365 |
| Calendriers | Rendez-vous clients, réunions, ressources | Perte d’historique ou de planning | Dépannage Outlook et Exchange |
| Contacts | Contacts professionnels, carnets partagés | Perte de contacts commerciaux ou support | Dépannage Outlook et Exchange |
| Paramètres critiques | Droits, autorisations, délégations | Restauration incomplète ou accès incohérents | Audit Microsoft 365 PME |
Le cas Teams mérite une attention particulière.
Les fichiers partagés dans Teams sont souvent stockés dans SharePoint. Ils peuvent donc être protégés si le site SharePoint associé est inclus dans le périmètre de sauvegarde.
Mais il ne faut pas conclure trop vite que “tout Teams” est sauvegardé.
La page Microsoft Adoption indique que Microsoft 365 Backup prend en charge OneDrive, SharePoint et Exchange, tandis que Microsoft Teams est indiqué comme fonctionnalité à venir.
Avant de signer ou de paramétrer une sauvegarde, demandez donc clairement :
Une sauvegarde sérieuse commence par cette clarté.
La perte de données ne commence pas toujours par une cyberattaque spectaculaire.
Très souvent, elle commence par une action banale.
Un utilisateur supprime un mail. Puis il vide sa corbeille.
Ou quelqu’un range un espace SharePoint et supprime un dossier client.
Sur le moment, personne ne s’inquiète. Deux mois plus tard, un client redemande une pièce jointe, un devis ou un historique d’échange.
Le délai est passé.
La récupération native ne suffit plus.
Dans ce cas, il faut une restauration granulaire. Cela signifie : récupérer un élément précis, comme un mail, un fichier ou un dossier, sans restaurer tout l’environnement.
Un salarié quitte l’entreprise.
Son compte est désactivé. Sa licence est retirée. Sa boîte mail est mal conservée. Son OneDrive contient pourtant des fichiers projet importants.
Trois semaines plus tard, l’équipe cherche un document.
Personne ne sait où il est.
Une sauvegarde Microsoft 365 doit s’intégrer à la procédure de départ :
Sans procédure, tout repose sur la mémoire d’une personne.
Et c’est fragile.
Un poste est compromis.
Des fichiers locaux sont chiffrés. OneDrive synchronise les versions chiffrées. SharePoint reçoit à son tour des fichiers inutilisables.
Résultat : les données sont toujours là, mais elles ne servent plus à rien.
Dans ce type de situation, il faut pouvoir revenir à une version saine.
Le CERT-FR rappelle que les conséquences d’une attaque destructrice peuvent être lourdes et insiste sur la nécessité de sauvegarder les données les plus critiques sur des supports hors ligne afin de réduire l’impact de ce type d’attaque.
Pour Microsoft 365, cela rappelle une chose : la sauvegarde doit être pensée avec la cybersécurité Microsoft 365, pas à côté.
Une mauvaise configuration peut suffire.
Exemples :
L’erreur est humaine.
La sauvegarde sert de filet de sécurité.
Mais seulement si elle couvre le bon périmètre et si la restauration a déjà été testée.
Toutes les pertes ne sont pas accidentelles.
Un utilisateur peut supprimer des fichiers avant son départ. Un accès externe peut être mal utilisé. Un compte compromis peut modifier ou supprimer des contenus.
Dans ce cas, la sauvegarde doit être complétée par :
La sauvegarde permet de revenir en arrière. La sécurité aide à comprendre ce qui s’est passé.
Ces mots sont souvent mélangés.
Pourtant, ils ne répondent pas au même besoin.
| Mécanisme | Objectif | Ce que cela permet | Ce que cela ne remplace pas | Page Axorys liée |
|---|---|---|---|---|
| Corbeille | Récupérer rapidement après une suppression récente | Restaurer certains éléments pendant un délai limité | Une sauvegarde testée | Rétention vs sauvegarde Microsoft 365 |
| Rétention Microsoft 365 | Conserver ou supprimer selon des règles | Garder des contenus pendant une durée définie ou les supprimer automatiquement | Une restauration opérationnelle à un point antérieur | Rétention vs sauvegarde Microsoft 365 |
| Archivage Microsoft 365 | Conserver sur le long terme | Répondre à des besoins de conservation, recherche ou conformité | Une sauvegarde après incident | Archivage Microsoft 365 |
| Sauvegarde Microsoft 365 | Restaurer après perte ou incident | Revenir à un état antérieur selon le périmètre couvert | Une politique d’archivage ou de conformité | Audit Microsoft 365 PME |
| PRA / PCA | Reprendre ou maintenir l’activité | Organiser la continuité globale de l’entreprise | Une sauvegarde Microsoft 365 seule | Infogérance Microsoft 365 |
La rétention Microsoft 365 sert à conserver ou supprimer des contenus selon des règles définies. Microsoft Purview Data Lifecycle Management permet de conserver ce qui doit l’être et de supprimer ce qui n’a plus de valeur métier ou réglementaire.
L’archivage sert plutôt à conserver sur le long terme.
La sauvegarde sert à restaurer après un incident.
Le PRA, ou plan de reprise d’activité, est plus large. Il organise la reprise après un incident majeur. Le PCA, ou plan de continuité d’activité, vise à maintenir l’activité pendant la crise.
Une PME n’a pas besoin de tout complexifier.
Mais elle doit éviter une erreur fréquente : croire qu’une corbeille, une règle de rétention ou un archivage remplacent automatiquement une sauvegarde.
Pour approfondir : rétention vs sauvegarde Microsoft 365, archivage Microsoft 365 et archivage vs sauvegarde Exchange Online.
Une sauvegarde ne doit pas être jugée sur une simple phrase : “oui, c’est sauvegardé”.
Il faut vérifier ce qu’elle sait vraiment restaurer.
Demandez la liste exacte.
La sauvegarde couvre-t-elle :
Évitez les réponses floues.
“Microsoft 365 est sauvegardé” ne suffit pas.
À quelle fréquence les données sont-elles protégées ?
Toutes les heures ? Tous les jours ? Plusieurs fois par jour ? Selon le service ?
La fréquence doit suivre la réalité de l’activité.
Une boîte mail commerciale qui reçoit des demandes clients toute la journée n’a pas le même besoin qu’un dossier archive rarement modifié.
Combien de temps les sauvegardes sont-elles gardées ?
30 jours ? 90 jours ? 1 an ?
La durée doit couvrir les vrais scénarios PME :
La restauration granulaire permet de récupérer un élément précis.
Exemples :
Microsoft indique que Microsoft 365 Backup permet de restaurer des comptes OneDrive, des sites SharePoint et du contenu Exchange depuis des points de restauration spécifiques.
Vérifiez aussi comment la donnée est restaurée.
Peut-on restaurer :
Microsoft précise que Microsoft 365 Backup peut restaurer des données vers l’emplacement d’origine ou vers un nouvel emplacement selon les scénarios.
Une sauvegarde doit aussi être protégée.
Sinon, elle devient elle-même une cible.
À vérifier :
Microsoft indique que Microsoft 365 Backup utilise un stockage append-only, conçu pour empêcher les modifications ou écrasements des points de restauration par un service ou un malware.
C’est le point le plus important.
Une sauvegarde jamais testée reste une hypothèse.
Demandez :
Une sauvegarde utile n’est pas seulement une sauvegarde qui existe.
C’est une sauvegarde dont la restauration a été prouvée.
Un audit Microsoft 365 PME permet de vérifier ce périmètre avant de contractualiser ou d’intégrer la sauvegarde dans une prestation plus large.
Il n’existe pas une fréquence parfaite pour toutes les PME.
La bonne fréquence dépend de vos usages.
Un cabinet comptable, une agence, une société de conseil ou une PME de services n’a pas toujours le même volume de mails, de documents clients ou de fichiers projet.
Deux notions simples aident à décider.
Le RPO, pour Recovery Point Objective, désigne la quantité maximale de données que l’entreprise accepte de perdre.
Exemple : si votre RPO est de 24 heures, vous acceptez de perdre jusqu’à une journée de modifications.
Le RTO, pour Recovery Time Objective, désigne le délai maximal acceptable pour retrouver l’accès à la donnée.
Exemple : si votre RTO est de 4 heures, vous voulez pouvoir récupérer les données concernées en moins de 4 heures.
Pour une PME, il faut poser les questions en langage métier :
Microsoft définit aussi la fréquence des points de restauration comme liée au RPO, c’est-à-dire au temps maximal de perte de données après un incident.
Le pilotage Microsoft 365 sert justement à transformer ces réponses en règles concrètes : périmètre, fréquence, conservation, tests et reporting.
Tester une restauration ne doit pas attendre un incident.
Il faut tester avant.
La méthode peut rester simple.
Exemples de tests utiles :
La documentation Microsoft décrit la restauration OneDrive, SharePoint et Exchange depuis Microsoft 365 Backup à partir de points de restauration. Elle précise aussi que l’administrateur doit choisir un point de restauration manuel ou recommandé selon le scénario.
La preuve du test doit être conservée.
Elle doit indiquer :
C’est cette preuve qui transforme une sauvegarde théorique en protection réelle.
Pour relier ce sujet au pilotage global, consultez les preuves et pilotage Microsoft 365.
La sauvegarde Microsoft 365 repose sur une responsabilité partagée.
Microsoft fournit la plateforme.
Le client décide du niveau de protection attendu.
Le prestataire peut cadrer, opérer, tester et documenter.
| Sujet | Client | Prestataire | Microsoft |
|---|---|---|---|
| Disponibilité de la plateforme | Suit l’impact métier | Informe, diagnostique, accompagne | Fournit et maintient les services cloud |
| Configuration du tenant | Valide les décisions | Configure selon le périmètre | Fournit les outils et services |
| Choix de la stratégie de sauvegarde | Décide du niveau attendu | Propose et formalise | Fournit ou permet des services de sauvegarde |
| Définition des données critiques | Identifie ce qui compte vraiment | Aide à prioriser | Ne connaît pas le besoin métier |
| Lancement des restaurations | Demande ou valide | Lance selon procédure | Fournit les mécanismes disponibles |
| Validation métier après restauration | Confirme que la donnée est exploitable | Documente et corrige si besoin | Ne valide pas le contenu métier |
| Tests périodiques | Valide le rythme attendu | Planifie, exécute, trace | Fournit les capacités techniques |
| Rapports et preuves | Lit et décide | Produit les preuves | Fournit certains journaux et états |
| Notification en cas d’incident | Arbitre l’impact métier | Alerte, accompagne, documente | Communique sur les incidents de plateforme |
| Réversibilité | Exige les conditions | Prépare la sortie ou le transfert | Dépend des services utilisés |
Ce tableau évite les malentendus.
Le client ne doit pas découvrir après un incident que personne n’a jamais testé la restauration.
Le prestataire ne doit pas deviner seul quelles données sont critiques.
Microsoft ne valide pas votre besoin métier à votre place.
Pour une entreprise locale, un prestataire d’infogérance à Paris peut aider à cadrer ces responsabilités dans une relation suivie.
La sauvegarde n’est pas seulement un sujet de restauration.
C’est aussi un sujet de sécurité.
Pourquoi ? Parce qu’un incident de sécurité peut toucher les données et la sauvegarde.
Exemples :
Une sauvegarde doit donc être pensée avec les mêmes réflexes que la sécurité Microsoft 365.
Il faut protéger :
Le MFA, ou authentification multifacteur, doit être activé sur les comptes sensibles. Les droits doivent être séparés. Les actions doivent être journalisées.
La sauvegarde restaure après l’incident.
La sécurité réduit la probabilité et l’impact de l’incident.
Pour approfondir : sécuriser Microsoft 365, comptes administrateurs Microsoft 365 et accès conditionnel Entra ID.
La sauvegarde peut contenir des données sensibles.
Dans une PME, cela peut concerner :
Il faut donc clarifier plusieurs points :
La sauvegarde ne remplace pas une politique de rétention ou d’archivage.
Elle doit rester cohérente avec les obligations de conservation et de suppression. Microsoft Purview Data Lifecycle Management permet notamment d’appliquer des politiques de rétention aux charges de travail Microsoft 365 comme Exchange, SharePoint, OneDrive et Teams.
Si l’entreprise manipule des données sensibles, il faut aussi relier le sujet à la prévention des fuites de données.
La sauvegarde aide à restaurer.
La DLP aide à éviter que certaines données sortent sans contrôle.
Les deux sujets sont liés, mais ils ne remplacent pas l’un l’autre.
La bonne question n’est pas seulement :
“Avons-nous une sauvegarde ?”
La bonne question est :
“Avons-nous une preuve récente que nous savons restaurer ?”
Un prestataire doit pouvoir fournir :
Le rapport doit être simple à lire.
Il doit répondre à des questions de dirigeant :
C’est ce suivi qui donne de la valeur à la sauvegarde dans le temps.
Pour cadrer ce point, consultez notre service de suivi de sauvegarde Microsoft 365.
Une PME peut avoir une sauvegarde sans qu’elle soit vraiment pilotée.
C’est fréquent.
Un outil a été mis en place. Une sauvegarde existe. Mais personne ne lit les alertes, personne ne teste la restauration, personne ne sait exactement ce qui est couvert.
La sauvegarde doit être intégrée à l’infogérance Microsoft 365 quand :
Dans ce cas, la sauvegarde ne doit plus être une option isolée.
Elle doit entrer dans un pilotage complet :
C’est le rôle d’une prestation qui permet d’intégrer la sauvegarde dans l’infogérance Microsoft 365.
Avant cela, il peut être utile de vérifier la sauvegarde Microsoft 365 dans un audit.
Microsoft 365 protège la disponibilité de ses services, mais cela ne signifie pas que toutes les données métier sont restaurables dans tous les scénarios. Une PME doit vérifier le périmètre, la durée de conservation, les points de restauration et les tests réalisés.
Il faut vérifier au minimum Exchange Online, les boîtes mail, les boîtes partagées, SharePoint, OneDrive, les fichiers liés à Teams, les calendriers, les contacts et certains paramètres critiques comme les droits ou délégations.
La rétention conserve ou supprime selon des règles. L’archivage conserve sur le long terme pour des besoins de recherche ou de conformité. La sauvegarde sert à restaurer une donnée après suppression, corruption, erreur ou incident.
Non. OneDrive synchronise des fichiers. Ce n’est pas une sauvegarde complète. Si un fichier est supprimé, chiffré ou corrompu puis synchronisé, la synchronisation peut propager le problème. Une sauvegarde doit permettre de revenir à une version saine.
Une PME devrait tester la restauration régulièrement, au moins sur des éléments représentatifs : mail, fichier SharePoint, dossier OneDrive, boîte partagée ou site de test. La fréquence dépend de la criticité des données et du niveau de risque accepté.
Oui, si personne ne suit les sauvegardes, les alertes, les tests et les preuves. L’infogérance permet de cadrer le périmètre, vérifier les échecs, réaliser des tests, documenter les résultats et produire un rapport mensuel.
Microsoft 365 est central dans une PME.
Il porte les mails, les fichiers, les dossiers clients, les espaces SharePoint, les documents OneDrive et une partie des échanges Teams.
Mais la disponibilité du cloud ne suffit pas à garantir que vos données sont restaurables après une suppression, une erreur, une attaque ou une mauvaise configuration.
Une sauvegarde Microsoft 365 utile doit avoir :
Le sujet n’est donc pas seulement technique.
Il faut savoir qui décide, qui restaure, qui valide et qui documente.
Votre PME utilise Microsoft 365, mais vous ne savez pas précisément ce qui est sauvegardé ni si une restauration a déjà été testée ? Axorys peut cadrer, suivre et documenter la sauvegarde de votre environnement Microsoft 365.