« Mes données sont dans le cloud Microsoft, donc elles sont sauvegardées par Microsoft. » Cette phrase, nous l'entendons toutes les semaines lors d'audits de PME du bassin nazairien. Et c'est faux. Microsoft sauvegarde son infrastructure pour assurer la continuité du service, pas vos données pour les restaurer après une erreur de votre part. La distinction est fondamentale.
Le modèle de responsabilité partagée
Microsoft est très clair dans ses contrats : ils sont responsables de la disponibilité de la plateforme (les 99,9 % de uptime), de la sécurité physique des datacenters, et de la protection contre les pannes hardware. Vous êtes responsable de la protection de vos données contre :
- Les suppressions accidentelles (un utilisateur supprime un mail important, un dossier SharePoint entier)
- Les suppressions malveillantes (salarié mécontent, compte compromis par phishing)
- Les ransomwares qui chiffrent OneDrive depuis un poste compromis
- Les erreurs de configuration (rétention mal paramétrée, eDiscovery mal exécuté)
Ce qui se passe réellement quand on supprime
Exchange (mails)
Un mail supprimé reste 14 jours dans la corbeille, puis 14 jours dans la corbeille récupérable. Au bout de 28 jours, il est définitivement perdu. Si l'utilisateur a vidé manuellement sa corbeille, il a 14 jours pour récupérer. Au-delà : adieu.
OneDrive / SharePoint
Un fichier supprimé reste 93 jours en corbeille. Mais si un ransomware chiffre 5 000 fichiers, vous n'allez pas les restaurer un par un. Et si le sinistre est découvert au bout de 100 jours (ce qui arrive avec certains ransomwares dormants), c'est perdu.
Teams
Les conversations et fichiers de canaux sont liés à SharePoint et Exchange, donc dépendent des mêmes règles. Mais la suppression d'une équipe entière (par un propriétaire ou un administrateur) est récupérable seulement 30 jours.
Cas réel chez un client : à Pornichet, en septembre 2025, un dirigeant supprime « par erreur » un site SharePoint qu'il pensait obsolète. 6 mois plus tard, le commercial qui l'utilisait revient de congé maternité et demande où sont ses dossiers. Trop tard : 6 mois > 93 jours. Sans backup tiers, c'était perdu. Avec notre sauvegarde Veeam pour M365, tout a été restauré en 2 heures.
Ce qu'apporte une vraie sauvegarde tierce
Une solution de sauvegarde tierce (Veeam Backup for Microsoft 365, Acronis, Datto SaaS Protection) :
- Conserve vos données aussi longtemps que vous le décidez (1 an, 7 ans, illimité)
- Stocke les sauvegardes en dehors de Microsoft (souvent dans un cloud français)
- Permet une restauration granulaire : un seul mail, un seul fichier, une seule entrée OneDrive
- Protège contre les actions destructrices d'un administrateur compromis
- Répond aux exigences RGPD et auditeurs (conservation, traçabilité)
Comment on procède chez Astorya
Notre offre standard pour les PME de Saint-Nazaire repose sur Veeam Backup for Microsoft 365, hébergé dans notre datacenter à Nantes. Ce que ça inclut :
- Sauvegarde quotidienne automatique d'Exchange, OneDrive, SharePoint, Teams
- Rétention 1 an par défaut (extension possible jusqu'à 7 ans)
- Stockage en France (RGPD-compatible, hors Microsoft)
- Restauration sur demande : email à l'astreinte, restauration en moins de 4h
- Tableau de bord client pour vérifier que tout sauvegarde bien
Le tarif tourne autour de 3 à 5 € HT par boîte aux lettres et par mois, tout inclus. Pour une PME de 25 utilisateurs, c'est ~100 € HT / mois. Ridicule par rapport au coût d'une perte de données.
Et la conformité RGPD ?
Sauvegarder Microsoft 365 en France répond à plusieurs exigences RGPD : localisation des données, garantie de récupération en cas d'incident, traçabilité. C'est souvent un point soulevé en audit. Notre offre cloud & sauvegarde intègre cette conformité par défaut.
En résumé
Microsoft 365 est une formidable plateforme. Mais elle ne remplace pas une sauvegarde. Si vos données métiers (mails commerciaux, dossiers projets, conversations Teams) sont dedans, vous avez besoin d'une protection tierce. Le coût est marginal, l'enjeu est majeur.