Microsoft ne sauvegarde pas vos données à votre place. La sauvegarde Office 365 est de votre responsabilité — et ce n’est pas la même chose que la corbeille à 30 jours. Des milliers d’entreprises découvrent chaque année que Microsoft 365 ne garantit pas la restauration de leurs données après une suppression accidentelle, un ransomware qui chiffre vos OneDrive synchronisés, ou le départ conflictuel d’un collaborateur. Ce guide explique précisément ce que Microsoft couvre, ce qu’il ne couvre pas, et comment mettre en place une sauvegarde Office 365 entreprise qui tient dans la durée — avec un budget et une charge opérationnelle adaptés aux PME.
CHIFFRE CLÉ
30 jours : c’est la rétention maximale de la corbeille personnelle OneDrive. 93 jours : la rétention de la corbeille SharePoint. Au-delà, la suppression est définitive — y compris lorsque la cause est une erreur humaine, un ransomware ou une attaque sur votre tenant. Le modèle de responsabilité partagée Microsoft est clair : Microsoft assure la disponibilité de l’infrastructure ; vous êtes responsable de vos données (Microsoft Services Agreement & Shared Responsibility Model).
Ce que Microsoft couvre — et ce qu’il ne couvre pas
C’est l’idée reçue la plus répandue : « J’ai Microsoft 365, mes données sont dans le cloud, donc elles sont sauvegardées ». Cette affirmation est fausse et Microsoft le documente explicitement dans son modèle de responsabilité partagée. Distinction nette :
✅ Ce que Microsoft couvre
- Disponibilité de la plateforme M365 (SLA 99,9 %)
- Réplication géographique des data centers (résilience infrastructure)
- Corbeille Exchange 30 jours, OneDrive 30 jours, SharePoint 93 jours
- Historique des versions SharePoint/OneDrive (limité, configurable)
- Protection anti-phishing Microsoft Defender
❌ Ce que Microsoft NE couvre PAS
- Erreur humaine au-delà de la fenêtre de rétention (suppression, écrasement, modification massive)
- Ransomware qui chiffre vos fichiers synchronisés via OneDrive et propage aux versions historiques
- Attaque sur le tenant (compromission d’un compte admin qui supprime tout)
- Départ conflictuel d’un collaborateur qui vide son OneDrive
- Restauration point-in-time à J-60 ou J-180
- Sauvegarde des conversations Teams et des métadonnées
Microsoft gère la disponibilité de son infrastructure — pas la restauration de vos données après un incident de votre côté. C’est exactement le trou dans la raquette dans lequel tombent la plupart des PME qui ont basculé sur M365 sans stratégie de sauvegarde dédiée.
RÈGLE 3-2-1-1-0 — RECOMMANDATION ANSSI / NIST
3 copies de vos données — 2 supports différents (tenant M365 + cloud tiers ou disque local) — 1 hors du tenant Microsoft — 1 immuable (que même un admin compromis ne peut pas supprimer) — 0 erreur lors du test de restauration. Cette règle issue du NIST Cybersecurity Framework et du Guide d’hygiène informatique de l’ANSSI est la référence pour la sauvegarde PME en 2026, y compris pour un environnement 100 % M365.
Les 4 scénarios où Microsoft ne peut rien pour vous
Nous voyons ces quatre scénarios chaque année chez nos clients PME. Tous ont un point commun : la réaction est toujours la même — « je pensais que Microsoft sauvegardait ». Non. Et c’est trop tard pour le découvrir au moment de l’incident.
SCÉNARIO 1
Ransomware qui chiffre OneDrive
Un collaborateur ouvre une pièce jointe piégée. Le ransomware chiffre tous ses fichiers locaux en quelques secondes, puis OneDrive synchronise ces versions chiffrées vers le cloud en arrière-plan. L’historique des versions SharePoint peut remonter — sauf que le ransomware fait souvent 200+ modifications rapides, dépassant la limite de versions conservées. Sans sauvegarde tierce, les données sont perdues.
SCÉNARIO 2
Erreur humaine découverte tard
Un manager supprime par erreur un dossier client critique lors d’une réorganisation SharePoint. Personne ne s’en aperçoit pendant 2 mois. Quand la question remonte, les 93 jours sont dépassés. La corbeille a été vidée automatiquement. Les fichiers sont définitivement perdus — et avec eux, l’historique commercial, les contrats et les échanges liés.
SCÉNARIO 3
Compte admin compromis
Phishing réussi sur le compte du DSI. L’attaquant a les droits Global Admin, supprime les sauvegardes locales et vide les corbeilles. En 15 minutes, des années de données Exchange et SharePoint sont effacées. Microsoft ne restaure pas : l’action a été effectuée par un compte autorisé du tenant. Seule une sauvegarde externe au tenant permet la restauration.
SCÉNARIO 4
Départ conflictuel collaborateur
Un commercial part chez un concurrent. La veille, il vide son OneDrive et supprime les e-mails clients les plus sensibles. Désactivation du compte 30 jours après → purge automatique des données. Sans sauvegarde tierce, l’historique commercial est perdu et l’entreprise perd aussi l’élément de preuve en cas de litige (contrat, échanges, propositions).
Les 3 options de sauvegarde Office 365
💾 Sauvegarde locale
Export régulier vers un serveur local ou un disque externe. Contrôle total sur les données, coût récurrent faible, mais vulnérable au même sinistre que le site principal (incendie, inondation, ransomware qui se propage sur le réseau). À éviter comme solution unique.
☁️ Sauvegarde cloud tierce
Solutions dédiées (Dropsuite, Veeam Backup for M365, Acronis Cyber Protect, Microsoft 365 Backup) qui sauvegardent Exchange, SharePoint, Teams et OneDrive sur une infrastructure indépendante du tenant Microsoft. C’est le standard recommandé pour les PME en 2026 : 2 à 5 €/utilisateur/mois, rétention illimitée, restauration granulaire.
🔀 Sauvegarde hybride
Combinaison locale + cloud tiers : meilleure résilience, restauration rapide en local pour les incidents courants, copie distante pour les sinistres majeurs. Approche idéale pour les données les plus critiques (comptabilité, RH, propriété intellectuelle). Plus cher mais justifié sur les périmètres où la perte est fatale.
Sauvegarde M365 tierce vs corbeille Microsoft native
✅ Sauvegarde M365 tierce
- Restauration granulaire (email, dossier, fichier, boîte entière)
- Rétention longue durée configurable (1 an, 7 ans, illimité)
- Indépendance de l’infrastructure Microsoft
- Accessible même si le tenant est compromis
- Chiffrement AES-256 en transit et au repos
- Restauration point-in-time à J-X
❌ Corbeille Microsoft native
- 30 jours OneDrive / 93 jours SharePoint, non modifiable
- Pas de protection contre le ransomware qui sature l’historique
- Pas de restauration point-in-time
- Perdue si le tenant est compromis par un admin
- Pas de couverture des conversations Teams et fichiers associés
- Incluse dans M365 — ce n’est PAS une sauvegarde
RGPD : la sauvegarde M365 est aussi une obligation
L’Article 32 du RGPD impose au responsable du traitement de mettre en œuvre « les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ». La CNIL et l’EDPB considèrent explicitement la capacité à restaurer les données personnelles après un incident comme une mesure appropriée au sens de l’Article 32 §1 (c). Un tenant M365 sans sauvegarde tierce qui perd des données personnelles suite à un incident (ransomware, erreur admin, compromission) constitue un manquement à cette obligation. La sanction associée relève de l’Article 83 §4 (jusqu’à 10 M€ ou 2 % du CA mondial).
À cela s’ajoute l’Article 33 : en cas de violation, notification à la CNIL sous 72 heures. Si la perte des données rend impossible la reconstitution de l’information (ex. fichier clients définitivement perdu), la violation est considérée comme « de haut niveau de risque » et l’Article 34 impose l’information individuelle de chaque personne concernée. La sauvegarde tierce est donc autant une mesure de résilience IT qu’une mesure de conformité RGPD.
5 étapes pour mettre en place votre sauvegarde M365
- Identifier les données essentielles : Exchange, SharePoint, OneDrive, Teams. Cartographier les boîtes et sites critiques vs secondaires. Définir le périmètre de sauvegarde avec les responsables métier (pas uniquement l’IT).
- Choisir la solution : solution tierce dédiée M365 (Dropsuite, Veeam, Acronis, Microsoft 365 Backup) selon vos besoins de rétention (1 an, 7 ans, illimité), de restauration granulaire et de budget. Fourchette typique : 2 à 5 € par utilisateur et par mois.
- Configurer la politique de rétention : fréquence (quotidien minimum, 4 fois par jour pour les boîtes critiques), durée de conservation (1 an recommandé, 7 ans pour les données comptables, RGPD aligné), périmètre (toutes boîtes ou sélection). Hébergement en UE obligatoire si données RGPD sensibles.
- Tester la restauration : simuler trimestriellement une restauration réelle — un e-mail précis, un fichier SharePoint, un dossier Teams. Mesurer le RTO réel (temps de restauration). Documenter chaque test. Une sauvegarde jamais testée n’est pas une sauvegarde.
- Surveiller et alerter : activer les alertes d’échec de sauvegarde, vérifier les rapports hebdomadaires, intégrer dans la supervision IT globale avec escalade au RSI. Une sauvegarde qui échoue silencieusement depuis 3 mois est pire qu’une absence de sauvegarde — elle crée une fausse sécurité.
Comment Ezohiko vous accompagne sur la sauvegarde M365
Mettre en place une sauvegarde M365 qui tient dans la durée demande trois choses : le bon outil, la bonne configuration, et un acteur qui teste et supervise. Nous intervenons sur les trois volets, en projet ponctuel ou en mode responsable informatique temps partagé.
Audit backup M365
État des lieux de votre tenant : périmètre sauvegardé réellement vs ce que vous pensez sauvegardé, politique de rétention, test de restauration, conformité RGPD. Livrable : un rapport avec les trous de couverture et un plan d’action chiffré, typiquement 2 jours d’intervention.
Déploiement Dropsuite / Veeam
Mise en place d’une solution tierce dédiée M365 avec hébergement UE, chiffrement AES-256, rétention configurée selon vos obligations. Intégration supervision, alertes d’échec, procédure de restauration documentée. Tests de restauration tous les 6 mois, assurés par Ezohiko.
PRA as a Service
Pour les entreprises avec une infrastructure au-delà de M365 (serveurs métier, bases de données). Combinaison sauvegarde M365 + réplication d’infrastructure chez Ezohiko, test de restauration bi-annuel, RTO cible 4 heures. À partir de quelques centaines d’euros/mois.
Meilleures pratiques — sauvegarde Office 365 entreprise
- Appliquez la règle 3-2-1-1-0 : 3 copies, 2 supports différents, 1 hors site, 1 immuable, 0 erreur
- Chiffrez vos sauvegardes : données en transit et au repos chiffrées en AES-256 minimum, clés gérées hors du tenant M365
- Hébergement UE : pour les données RGPD sensibles, choisir une solution qui stocke en Union Européenne (souveraineté + Clauses Contractuelles Types)
- Testez la restauration trimestriellement : cas différents à chaque test (email, fichier SharePoint, dossier Teams, boîte entière)
- Formez vos collaborateurs : sensibilisation aux risques de suppression, aux bonnes pratiques de stockage, aux limites de la corbeille
- Incluez la sauvegarde dans votre PRA : RTO et RPO définis, testés, et communiqués à la direction
Questions fréquentes — Sauvegarde Office 365 entreprise
Microsoft 365 sauvegarde-t-il automatiquement mes données ?
Non. Microsoft assure la disponibilité de son infrastructure via un SLA de 99,9 %, mais ne garantit pas la restauration de vos données en cas de suppression accidentelle, d’erreur humaine ou de cyberattaque. C’est explicitement documenté dans le modèle de responsabilité partagée Microsoft : vos données sont de votre responsabilité. La sauvegarde Office 365 reste entièrement à la charge de l’entreprise utilisatrice.
Quelle est la durée de rétention des corbeilles Microsoft 365 ?
La corbeille Exchange conserve les e-mails supprimés 30 jours. La corbeille OneDrive personnelle également 30 jours. La corbeille du site SharePoint conserve les fichiers 93 jours. Ces délais ne sont pas modifiables par l’administrateur et ne protègent pas contre les ransomwares, les suppressions définitives volontaires ni les purges par un admin compromis. Une solution de sauvegarde tierce permet une rétention configurable jusqu’à plusieurs années, voire illimitée.
Quelles données Office 365 dois-je sauvegarder en priorité ?
Quatre périmètres à couvrir dans l’ordre de criticité : Exchange (boîtes mail, calendriers, contacts), SharePoint (sites d’équipe, documents métier, espaces projets), OneDrive (fichiers personnels des collaborateurs, souvent critiques pour les commerciaux et dirigeants), Teams (conversations, canaux, fichiers partagés, onglets Wiki). Toute donnée métier qui ne peut pas être reconstruite en quelques heures à partir d’autres sources doit être dans la politique de sauvegarde.
Quelle solution de sauvegarde Microsoft 365 recommandez-vous pour une PME ?
Pour une PME de 10 à 100 utilisateurs, nous recommandons des solutions dédiées M365 matures : Dropsuite (très bon rapport qualité/prix, hébergement EU possible), Veeam Backup for Microsoft 365 (leader historique, granularité maximale), Acronis Cyber Protect (combinaison backup + antivirus EDR), ou Microsoft 365 Backup (solution native Microsoft lancée en 2024, simple à déployer mais moins granulaire). Le choix dépend du budget, du besoin de rétention longue durée et de la couverture Teams. Nous évaluons avec vous les quatre lors d’un audit initial.
Combien coûte une sauvegarde Microsoft 365 pour une PME ?
Le coût d’une sauvegarde Microsoft 365 varie selon le nombre d’utilisateurs, la durée de rétention et la solution. En moyenne pour une PME : 2 à 5 € par utilisateur et par mois pour une solution tierce complète couvrant Exchange, SharePoint, OneDrive et Teams, rétention 1 an. Pour une PME de 25 collaborateurs, cela représente 50 à 125 € par mois, soit 600 à 1 500 € par an. À comparer avec le coût d’une perte de données non récupérable : reconstruction de données, litiges clients, notification CNIL, amende potentielle — couramment plusieurs dizaines de milliers d’euros pour un seul incident.
À quelle fréquence faut-il tester la restauration de sauvegarde Office 365 ?
Au minimum une fois par trimestre. Le test doit couvrir plusieurs scénarios dans la même opération : restauration d’un e-mail précis, d’un fichier SharePoint précis, d’un dossier Teams, et idéalement d’une boîte Exchange complète. Chaque test doit être documenté : date, scénarios couverts, RTO mesuré, anomalies rencontrées. Une sauvegarde non testée ne peut être considérée comme fiable dans votre Plan de Reprise d’Activité (PRA) — et en cas d’audit RGPD, le document de test est la preuve que vous avez rempli vos obligations Article 32.
Le ransomware peut-il atteindre mes fichiers OneDrive ?
Oui, et c’est l’un des vecteurs principaux en 2026. Scénario typique : un collaborateur ouvre une pièce jointe piégée, le ransomware chiffre tous ses fichiers locaux en quelques secondes, puis OneDrive synchronise ces versions chiffrées vers le cloud. Microsoft conserve un historique des versions, mais le ransomware fait souvent 200 à 500 modifications rapides par fichier pour dépasser cette limite. Résultat : sans sauvegarde tierce indépendante du tenant Microsoft, les fichiers sont définitivement perdus. La sauvegarde M365 tierce est le seul moyen fiable de restaurer une version antérieure à l’infection.
La sauvegarde M365 est-elle obligatoire au regard du RGPD ?
L’Article 32 du RGPD exige des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles, incluant « la capacité à rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique » (Article 32 §1 c). La CNIL et l’EDPB considèrent la sauvegarde comme une mesure appropriée pour les traitements contenant des données personnelles. Un tenant M365 sans sauvegarde tierce qui subit une perte de données personnelles suite à un incident expose le responsable de traitement à une sanction jusqu’à 10 M€ ou 2 % du CA mondial (Article 83 §4). Dans les faits, la CNIL sanctionne plus souvent l’absence de sauvegarde testée que l’absence d’autres mesures de sécurité.
Parlons de votre situation.
30 minutes, sans engagement.
On regarde ensemble ce qu’il faudrait pour libérer votre charge mentale IT. Pas de pitch. Juste un état des lieux honnête.
Architecte de votre informatique. Artisan de votre confiance.