Sauvegarde de Google Workspace et Microsoft 365 : plateformes FOSS vs commerciales

Introduction : Cloud et faux sentiment de sécurité

L’adoption de suites infonuagiques comme Google Workspace et Microsoft 365 par les PME a explosé ces dernières années. Ces solutions offrent une fiabilité élevée, une accessibilité en tout lieu et des sauvegardes internes de certains éléments. Pourtant, un mythe persistant veut que les données hébergées « dans le cloud » soient automatiquement en sécurité, supprimant le besoin de les sauvegarder. En réalité, vos données restent votre responsabilité, même dans le cloud. Microsoft et Google gèrent l’infrastructure sous-jacente et la disponibilité des services, mais ne garantissent pas la récupération intégrale de vos contenus en cas de problème. Par exemple, la suppression accidentelle d’un courriel ou d’un fichier OneDrive, la corruption d’un document ou la compromission d’un compte peuvent entraîner une perte définitive sans solution de secours indépendante. Comme le dit l’adage, le cloud n’est pas une sauvegarde. Les recycle bins et systèmes de versionnage intégrés ont une portée limitée dans le temps : au-delà de certains délais de rétention, vos données supprimées deviennent irrécupérables.

En clair, cloud ne signifie pas infaillibilité. Microsoft l’admet d’ailleurs sans détour : dans son propre contrat de service, l’entreprise recommande aux usagers de sauvegarder régulièrement leurs contenus via un service tiers. Pourquoi cette recommandation explicite ? Parce que les fournisseurs cloud assurent la disponibilité de la plateforme et la protection contre des pertes majeures côté serveur (pannes matérielles, sinistres datacenter, etc.), mais la protection de la donnée utilisateur (emails, fichiers, messages) face aux erreurs humaines, menaces logicielles ou besoins de rétention légale reste à la charge du client. C’est le principe du modèle de responsabilité partagée : votre fournisseur gère l’enveloppe, vous gérez le contenu.

Ainsi, pour éviter des scénarios catastrophiques, email supprimé par inadvertance, document corrompu, infiltration malveillante ou ransomware chiffrant vos données, il est indispensable de mettre en place vos propres sauvegardes des environnements Google Workspace et Microsoft 365. Cette sauvegarde doit être séparée de la source (idéalement stockée dans un autre système ou emplacement) afin de rester disponible même si la plateforme primaire est indisponible ou compromise. Pour une PME, cela peut faire la différence entre une simple contrariété et un arrêt prolongé des opérations.

Pourquoi sauvegarder Microsoft 365 et Google Workspace ?

Même bien informés, de nombreux gestionnaires TI de PME croient encore que leurs courriels, documents et données de collaboration n’ont pas besoin de sauvegarde externe puisque « tout est déjà chez Microsoft/Google, donc protégé ». Cette vision sous-estime plusieurs risques concrets :

• Erreurs humaines : Une mauvaise manipulation est vite arrivée. Un employé supprime un fichier partagé important, vide la corbeille par mégarde, ou écrase une version antérieure d’un document crucial. Sans sauvegarde externe, toute suppression non détectée à temps devient irréversible une fois le délai de récupération dépassé. Or, ces délais (30 jours par défaut pour la corbeille Gmail/Drive ou OneDrive, 93 jours pour la corbeille SharePoint, etc.) passent vite.
• Malveillance ou rançongiciels : Aucune entreprise n’est à l’abri d’un acte malveillant interne (un employé qui efface intentionnellement des données avant de quitter, par exemple) ni d’une cyberattaque. Les ransomwares modernes peuvent chiffrer non seulement les postes de travail, mais aussi les contenus en ligne synchronisés. Une sauvegarde hors ligne ou hors cloud est alors votre meilleure garantie pour restaurer vos fichiers sans payer de rançon.
• Limites des systèmes natifs : Certes, Microsoft 365 et Google Workspace intègrent des mécanismes de rétention (historiques de versions de documents, corbeilles, Google Vault ou Microsoft Purview pour la conservation légale, etc.). Toutefois, ces outils ne remplacent pas une sauvegarde complète : ils visent surtout des besoins à court terme ou d’e-discovery interne. Ils ne couvrent pas tous les scénarios (par exemple, la purge d’un compte après départ d’un employé ou la corruption synchronisée de fichiers propagée sur toutes les copies). De plus, ils requièrent souvent une configuration spécifique et une surveillance régulière, ce qui n’est pas toujours fait par manque de temps ou de connaissances spécialisées.
• Continuité d’activité et conformité : Une PME doit envisager le pire : que faire si les services cloud sont indisponibles pendant plusieurs heures ou jours ? Avez-vous une copie locale de vos documents vitaux pour continuer à opérer ? Par ailleurs, certaines normes (secteur financier, santé) ou lois peuvent exiger de conserver certains enregistrements au-delà des durées gérées par l’éditeur du service. Par exemple, un courriel important supprimé depuis 6 mois ne sera plus récupérable via les outils natifs, mais si la réglementation vous impose de l’archiver 7 ans, vous êtes en défaut sans solution de sauvegarde autonome.

En somme, la sauvegarde indépendante de vos données cloud est une assurance essentielle. Elle vous permet de restaurer rapidement une boîte mail, un fichier Drive/OneDrive ou un site SharePoint/Google Site à un état antérieur, même longtemps après la suppression ou l’altération, et sans dépendre des bonnes grâces du fournisseur. Pour les PME québécoises, elle offre en prime une meilleure maîtrise de l’emplacement des données sauvegardées : en choisissant de garder ces backups localement (sur des serveurs au Québec ou du stockage cloud canadien), on simplifie la gouvernance des renseignements personnels et on s’aligne avec les obligations légales comme la Loi 25 sur la protection des données.

Plateformes FOSS vs plateformes commerciales : deux approches

Lorsque vient le moment de choisir une solution de sauvegarde pour Google Workspace ou Microsoft 365, deux grandes familles s’offrent à vous : les solutions dites FOSS (Free and Open Source Software, logiciels libres/open source) et les solutions commerciales propriétaires. Au-delà de la simple étiquette, ces deux catégories se distinguent par leur philosophie, leur modèle économique et leur mode de développement, avec des impacts concrets sur l’expérience utilisateur, les coûts et la flexibilité de la solution.

Qu’est-ce que le FOSS ? Il s’agit de logiciels dont le code source est ouvert et librement accessible, souvent développés de façon collaborative par une communauté. La licence d’utilisation est généralement gratuite (ou à très faible coût) et sans coûts de licence par utilisateur. Des exemples bien connus de FOSS incluent Linux, Firefox, ou dans notre contexte des outils de sauvegarde comme BorgBackup ou Duplicati. L’intérêt du FOSS réside dans la transparence, l’autonomie et la communauté : on peut inspecter le code (et ainsi vérifier la sécurité), le modifier si besoin, et profiter des améliorations apportées par d’autres utilisateurs à travers le monde. En contrepartie, ces solutions nécessitent souvent un peu plus de compétences techniques en interne pour l’installation et la maintenance, et le support officiel est limité (mais la communauté peut offrir de l’aide via forums, wiki, etc.).

Logiciels commerciaux : À l’opposé, les plateformes commerciales de sauvegarde sont développées par une entreprise privée. Elles sont généralement vendues sous forme de licences ou d’abonnements, avec un coût par utilisateur, par volume de données ou par service protégé. Leur code source est fermé. L’éditeur assure un support client (parfois 24/7), des mises à jour régulières garanties par contrat, et met en avant une expérience “clé en main” : interface conviviale, intégrations officielles avec les API de Microsoft/Google, installation guidée, etc. En somme, on paye pour un produit fini, packagé, avec assistance. En contrepartie, on accepte une forme de dépendance envers le vendeur (verrouillage propriétaire : les données sauvegardées sont souvent dans un format qui nécessite le logiciel pour être lues, et il faut rester client pour continuer à bénéficier des mises à jour). Les coûts peuvent aussi s’accumuler selon le nombre d’utilisateurs ou de fonctionnalités souhaitées.

En caricaturant un peu, opter pour du FOSS c’est choisir la flexibilité et la maîtrise, quitte à investir plus de temps technique au départ, tandis qu’une solution commerciale offre la commodité et un support professionnel, mais tend à être plus coûteuse et moins modifiable à votre guise.

Coûts et modèles de tarification

Le coût total de possession (TCO) d’une solution de sauvegarde ne se résume pas au prix d’achat initial du logiciel. Il englobe aussi les coûts récurrents (abonnements, renouvellements), les coûts indirects (infrastructure nécessaire, temps de travail pour gérer la solution) et les éventuels coûts d’opportunité (par exemple, l’indisponibilité en cas de problème). Comparons comment ces coûts se présentent pour les solutions FOSS et commerciales :

• Coût logiciel et licences : Les solutions FOSS sont généralement gratuites ou très abordables en elles-mêmes. Il n’y a pas de licence à acquérir par utilisateur ou par an, vous pouvez télécharger le logiciel librement. Ceci en fait un choix attractif pour les PME aux budgets serrés, d’autant que le coût n’augmente pas directement avec le nombre de comptes à sauvegarder. En revanche, les solutions commerciales fonctionnent par licences propriétaires : on paye soit un abonnement mensuel/annuel par utilisateur (ex. X $ par compte Google/M365 sauvegardé) soit un forfait pour une certaine capacité. Certains éditeurs segmentent aussi leur tarification selon les modules : par exemple, un forfait de base pour la sauvegarde des courriels et fichiers, mais un supplément pour inclure Teams ou pour activer certaines options avancées. Ces modèles de licences multiples avec add-ons selon les composants à protéger peuvent rendre la grille tarifaire complexe. De plus, la tarification par nombre d’utilisateurs peut sembler abordable au départ, mais grimper de façon exponentielle à mesure que votre organisation grandit. Il n’est pas rare de commencer avec un coût modique par utilisateur et de se retrouver quelques années plus tard avec une facture globale conséquente simplement en raison de l’augmentation des effectifs sauvegardés.
• Infrastructure et stockage : Qui dit sauvegarde dit espace de stockage pour héberger les données copiées. Avec un logiciel open-source auto-hébergé, ce sera à vous de prévoir un serveur (physique ou virtuel) et du stockage suffisant, par exemple un NAS dans vos bureaux, un espace sur un cloud public (S3, Azure Blob, etc.) ou chez un hébergeur local. Ce coût de stockage est indépendant du logiciel en lui-même : vous le paierez dans tous les cas, FOSS ou non. Cependant, certaines solutions commerciales intègrent le stockage dans leur offre (notamment les services de sauvegarde cloud-to-cloud qui conservent vos backups sur leur propre cloud). Dans ce cas, le coût de stockage est inclus dans la licence utilisateur, jusqu’à certaines limites, ou facturé à part au volume de données. Pour le FOSS, l’investissement matériel/serveur initial peut être significatif (achat d’un serveur ou d’un espace cloud, configuration réseau, etc.), mais c’est un investissement capitalisable (le matériel vous appartient et peut servir à d’autres usages). En mode commercial SaaS, l’infrastructure est « invisible » pour vous (gérée par le fournisseur), ce qui allège l’effort technique mais implique de faire confiance quant à la résilience et la sécurité de cette infrastructure externalisée.
• Maintenance et support : Cet aspect peut représenter un coût caché. Avec une solution open source, vous ne payez pas de support éditeur obligatoire, mais il faut consacrer du temps (donc de l’argent) pour la maintenir à jour, surveiller son bon fonctionnement, résoudre d’éventuels bugs ou incompatibilités. Cela nécessite soit des compétences en interne, soit de recourir à un prestataire spécialisé (comme une firme de consultation TI) pour vous accompagner. À l’opposé, le coût des solutions commerciales inclut généralement l’accès au support technique du vendeur, aux mises à jour logicielles régulières et aux correctifs de sécurité sans effort de votre part. Certaines PME valorisent cette tranquillité d’esprit : pouvoir appeler une hotline ou ouvrir un ticket dès qu’un problème survient a une valeur, surtout si on n’a pas d’administrateur système expérimenté en interne. Il faut donc évaluer l’équation entre, d’une part, économiser sur les licences mais gérer soi-même (FOSS) et, d’autre part, payer des licences mais déléguer une partie du travail de maintenance à l’éditeur (commercial).
• Coût à long terme et évolutivité : Le TCO sur plusieurs années peut réserver des surprises. Un logiciel FOSS peut nécessiter des ajustements manuels lors des montées de version de Microsoft 365/Google Workspace (ex. si les API changent, la communauté doit adapter le code), ou encore des dépenses ponctuelles en cas de panne (par exemple, remplacer d’urgence un serveur de sauvegarde en panne). Une solution commerciale, elle, peut voir ses tarifs augmenter périodiquement, ou facturer les “extra” (ex. récupération d’archives au-delà d’un certain volume, extension de rétention). Négociez les contrats avec prudence et anticipez l’évolution de vos effectifs : si vous doublez de taille, le coût de la solution commerciale suivra, alors que le coût d’une solution open source auto-hébergée grimpera sans doute moins vite (vous devrez surtout augmenter le stockage, et peut-être la puissance du serveur, mais pas de multiplication de licence par utilisateur).

En résumé, les solutions FOSS ont l’avantage d’un coût initial très bas (souvent nul pour le logiciel) mais impliquent des coûts opérationnels (infrastructure, temps d’expertise) qu’il faut budgéter. Les solutions commerciales présentent un coût visible sous forme d’abonnement, potentiellement élevé en cumulé, mais qui inclut un certain nombre de services (infrastructure cloud, support) pouvant justifier la dépense selon vos besoins et vos contraintes internes. Le coût total de possession doit être calculé sur la durée, en intégrant ces éléments tangibles et intangibles pour éclairer votre décision.

Avantages et inconvénients des solutions FOSS

Pour une PME en quête de sauvegarde, les plateformes FOSS offrent un lot d’avantages uniques qu’il convient de mesurer, tout en étant conscient de leurs limites éventuelles. Voici les principaux points à considérer pour les solutions libres/open source :

Avantages du FOSS :

• Coût réduit et indépendance financière : Comme évoqué, la plupart des logiciels de sauvegarde open source sont gratuits à l’usage ou comportent des coûts très modiques. Pas de licence par poste ni d’abonnement à renouveler, ce qui diminue fortement le coût initial et récurrent. Cette absence de redevance libère du budget pour d’autres priorités TI ou pour investir dans un bon matériel de stockage par exemple. De plus, vous n’êtes pas captif d’un fournisseur qui pourrait augmenter ses prix : la solution FOSS ne vous coupera pas les vivres si vous décidez de ne pas payer de support, vous pouvez continuer à l’utiliser librement.
• Flexibilité et personnalisation : Les logiciels libres sont souvent très configurables. Vous pouvez les adapter à vos besoins spécifiques, ajouter des scripts, intégrer avec d’autres outils, voire modifier le code source si une fonctionnalité manque. Ils offrent fréquemment un vaste choix d’options (types de stockage cible supportés, modes de compression, chiffrement, planification… selon les cas). Cette flexibilité va de pair avec la possibilité de personnalisation : l’open source n’est pas une « boîte noire », on peut l’ajuster pour coller à des cas d’usage particuliers, là où un logiciel commercial serait figé par les choix de l’éditeur.
• Transparence et sécurité maîtrisée : Un bénéfice souvent cité du FOSS est la transparence du code. N’importe qui (avec les compétences requises) peut auditer le programme, vérifier l’implémentation des mesures de sécurité, repérer d’éventuelles vulnérabilités. Cette ouverture du code renforce la confiance et la qualité : les failles sont souvent détectées et corrigées rapidement par la communauté. En pouvant examiner le code source, une entreprise soucieuse de sécurité peut comprendre exactement comment les données sont chiffrées, transmises et stockées. Cela offre une tranquillité d’esprit supplémentaire aux responsables TI qui veulent s’assurer qu’aucune porte dérobée ou collecte indue n’existe dans l’outil de sauvegarde.
• Évitement du verrou propriétaire (interopérabilité) : Avec les solutions open source, les formats de stockage des backups sont généralement ouverts ou documentés. Par exemple, certaines utilisent des formats standards (archives compressées .zip, etc.) ou publient les spécifications de leurs formats de sauvegarde. L’intérêt ? Vous pouvez restaurer ou migrer vos données ailleurs sans dépendre d’un unique logiciel. Si un jour vous décidez de changer d’outil, vous ne perdez pas l’accès à vos anciennes sauvegardes : pas de verrouillage du fournisseur. Les données étant dans un format ouvert, il est facile de les déplacer vers un nouveau système sans conversion complexe ni perte d’information. En somme, le FOSS garantit une pérennité des données sauvegardées indépendamment du destin de l’outil lui-même. (Certaines PME apprécient de savoir que même si le projet open source s’arrête, elles pourront toujours récupérer leurs backups avec d’autres moyens.)
• Communauté et innovation : Les projets open source de qualité fédèrent souvent une communauté d’utilisateurs et de développeurs dynamique. Cela se traduit par des mises à jour régulières, l’ajout de nouvelles fonctionnalités suggérées par les utilisateurs, et un support communautaire via des forums, chat (IRC/Discord), FAQ partagées, etc. Pour les problèmes courants, on trouve souvent des tutoriels, scripts ou solutions publiés par d’autres. Cette intelligence collective est un atout : vous n’êtes pas seul avec votre logiciel, la communauté a peut-être déjà rencontré (et résolu) le problème X ou Y semblable au vôtre. Enfin, l’ouverture encourage l’innovation rapide : si un nouveau besoin émerge (ex. supporter un nouveau service cloud), un contributeur peut coder l’extension plutôt que d’attendre le bon vouloir commercial d’un éditeur.

Inconvénients du FOSS :

• Expertise requise et courbe d’apprentissage : Soyons francs, mettre en place une solution de sauvegarde open source peut nécessiter davantage de compétences techniques qu’une solution commerciale prête à l’emploi. Beaucoup d’outils FOSS s’administrent en ligne de commande ou via des fichiers de configuration. La documentation, bien que souvent complète, est parfois technique ou en anglais uniquement. Pour une PME sans personnel TI dédié, cela peut représenter un défi. L’absence de support officiel signifie qu’il faut apprendre à se débrouiller (ou faire appel à un prestataire ponctuellement). Par exemple, configurer BorgBackup ou Restic demandera de maîtriser un peu Linux et scripting pour automatiser les tâches, là où une solution commerciale offrirait une interface graphique et des assistants. La courbe d’apprentissage est donc plus raide, et il faut du temps pour maîtriser parfaitement l’outil et ses bonnes pratiques (chiffrement des backups, rotation des archives, etc.).
• Maintenance et responsabilité : Utiliser un outil libre, c’est en être responsable de bout en bout. Si la sauvegarde s’interrompt à cause d’une erreur logicielle ou d’une incompatibilité, vous devrez diagnostiquer et corriger (ou chercher de l’aide communautaire). Les mises à jour ne s’appliquent pas automatiquement : c’est à vous de surveiller les nouvelles versions et de les installer pour bénéficier des correctifs de sécurité. En somme, le FOSS « ne vient pas avec un service après-vente ». Cela peut être risqué si personne dans l’entreprise n’est attitré à cette tâche ou si le maintien de l’outil est négligé faute de temps. Là où un éditeur propriétaire vous enverrait des notifications de patch ou interviendrait en support, le FOSS vous place aux commandes pour le meilleur et pour le pire.
• Fonctionnalités parfois moins intégrées : Bien que très puissant, un outil open source se concentre souvent sur un périmètre précis (principe Unix : « faire une chose et bien la faire »). Ainsi, il se peut que certaines fonctionnalités « périphériques » manquent par rapport à des suites commerciales complètes. Par exemple, une solution FOSS pourrait ne pas intégrer nativement de reporting avec tableaux de bord jolis, ou de connecteur natif vers tel service tiers. On peut souvent compenser par des modules ou scripts additionnels, mais cela ajoute de la complexité. De même, il n’y aura pas forcément d’interface web sophistiquée pour restaurer un fichier en quelques clics : la restauration pourra impliquer une commande ou manipulation manuelle. Selon la maturité du projet, les interfaces utilisateur peuvent être spartiates ou inexistantes (certains n’ont qu’un client CLI). Cela peut être un frein pour déléguer certaines actions à des techniciens moins expérimentés ou pour donner en libre-service aux utilisateurs (par ex., restauration self-service de leurs mails perdus, typiquement absent des FOSS).
• Support communautaire vs support contractuel : En cas de pépin majeur, avec un FOSS vous dépendez de la communauté bénévole pour vous aider (via des forums, Stack Overflow, Discord…). Les réponses peuvent être rapides et pertinentes si le projet est actif, mais aucune garantie de délai ou de résultat. À l’inverse, un contrat de support avec un éditeur commercial vous assure une réponse en X heures, et une obligation de moyen pour résoudre le problème. Pour une PME, ce point est crucial : pouvez-vous vous permettre d’attendre 3 jours qu’un bénévole identifie votre bug critique, ou faut-il une résolution dans la journée ? Cela dépend de votre tolérance au risque et de la criticité de vos données.

En pesant ces éléments, on comprend que les solutions FOSS conviennent particulièrement aux organisations qui recherchent la souveraineté technologique (contrôle total, pas de dépendance), qui ont des contraintes budgétaires fortes, et/ou qui disposent d’une certaine expertise TI en interne (ou via un partenaire) pour opérer l’outil. D’ailleurs, ici au Québec, des entreprises se spécialisent pour accompagner les PME dans cette voie : c’est le cas de Blue Fox, qui mise sur les logiciels libres pour donner aux petites structures les moyens d’opérer efficacement sans sacrifier leur souveraineté numérique ni leur vie privée. Si vous valorisez l’autonomie et la transparence, le FOSS est un choix aligné avec ces principes. Il faudra simplement prévoir l’investissement en temps ou en support externe pour bien l’apprivoiser.

Avantages et inconvénients des solutions commerciales

Face aux attraits du FOSS, les solutions de sauvegarde commerciales conservent une forte popularité en PME, car elles répondent souvent par l’accessibilité et le service aux besoins immédiats. Examinons leurs principaux atouts et limites :

Avantages des plateformes commerciales :

• Simplicité et expérience “clé en main” : Un argument de poids en faveur des solutions propriétaires est leur simplicité d’implantation. Conçues pour être vendues au plus grand nombre, elles offrent en général une interface utilisateur conviviale, des assistants de configuration, voire un déploiement entièrement géré dans le cloud. Par exemple, pour sauvegarder Office 365, il suffit souvent de créer un compte sur le service de l’éditeur, de l’autoriser à accéder à votre tenant Microsoft 365 via les API, et le tour est joué : les backups se lancent en automatique selon un horaire prédéfini. Pas besoin d’installer un serveur local ni de coder des scripts. Cette approche “plug-and-play” est précieuse pour les PME qui n’ont pas le temps ni les compétences pour bricoler. On vise le minimum de frictions : une console web centralise tous les réglages, on clique pour restaurer un item, etc. En somme, c’est du prêt-à-utiliser, là où une solution FOSS serait plus « à assembler ».
• Support technique et garanties : Lorsque vous achetez une solution commerciale, vous achetez aussi un service. En cas de problème ou de question, vous pouvez contacter un support technique (souvent francophone pour les produits distribués au Québec) qui vous assistera. Certains éditeurs offrent même un accompagnement à l’onboarding, des formations, etc. Cette disponibilité du fournisseur est rassurante : vous n’êtes pas seul face à votre sauvegarde. Par ailleurs, via le contrat de licence, l’éditeur peut s’engager sur des garanties (SLA) en matière de support ou de sécurité. Par exemple, un fournisseur SaaS indiquera un taux de disponibilité cible de sa plateforme de sauvegarde, ou s’engagera contractuellement à respecter la loi X et Y en matière de confidentialité. Ces garanties contractuelles n’existent pas avec un outil libre, tout repose alors sur vous.
• Fonctionnalités avancées et intégrations : Les produits commerciaux cherchent à se démarquer les uns des autres, ce qui profite aux utilisateurs via un large éventail de fonctionnalités avancées. Par exemple, une solution de sauvegarde Microsoft 365 propriétaire pourra offrir la restauration granulaire d’emails individuels directement dans la mailbox d’origine, la prévisualisation des pièces jointes, la possibilité pour un utilisateur final de déclencher lui-même la restauration depuis Teams ou Outlook, etc. Des éditeurs intègrent de plus en plus d’intelligence artificielle (détection d’anomalies dans les sauvegardes pouvant signaler un ransomware, recherche full-text dans les archives de mails, etc.). De même, les solutions commerciales proposent souvent des intégrations toutes faites : connecteurs avec Azure AD pour auto-détecter les nouveaux employés à protéger, export vers des outils d’archivage légaux, tableaux de bord de conformité, etc. Pour une PME, cela peut apporter des bénéfices concrets en productivité (gagner du temps sur les restaurations, sur les audits, etc.).
• Mises à jour et compatibilité assurées : Les environnements Microsoft 365 et Google évoluent en permanence (nouvelles fonctionnalités, changements d’API). Un fournisseur commercial a l’obligation de faire évoluer son produit en parallèle pour assurer la compatibilité. Vous bénéficiez donc de mises à jour régulières, généralement automatiques (surtout pour un service SaaS), qui intègrent les dernières évolutions : par exemple, la prise en charge d’un nouveau service (comme la sauvegarde de Microsoft Teams lorsqu’il est devenu crucial, ou la future application Loop), ou l’adaptation à un changement de politique de Google Drive. Vous n’avez pas à surveiller cela vous-même ; l’éditeur fait le suivi et vous informe des nouveautés. Cette proactivité est particulièrement importante quand on parle de sauvegarder des services cloud tiers : la capacité à restaurer un élément dépend de l’accès aux API adéquates, etc. Avec une solution commerciale, on peut s’attendre à ce que, disons, la sauvegarde de Teams ou des Google Shared Drives soit supportée peu après leur introduction, là où avec un projet open source il faudrait attendre qu’un bénévole se penche sur la question.
• Environnement intégré et complet : Certaines suites commerciales se positionnent comme des solutions globales de cyberprotection. Un éditeur comme Acronis, par exemple, combine dans sa plateforme des sauvegardes cloud et de la protection anti-malware, du monitoring, etc. D’autres vont inclure la sauvegarde des données SaaS, mais aussi des postes de travail, des serveurs locaux, dans une console unique. Cela peut simplifier la vie d’une PME qui préfère un guichet unique pour couvrir toutes ses copies de secours. De même, l’interface de gestion centralisée, avec rapports automatiques (emails de succès/échec de backup, alertes), est un confort qu’il faudrait bricoler en FOSS. Les rapports et audits sont souvent intégrés : vous pouvez montrer facilement un rapport de conformité démontrant que toutes les boîtes de messagerie sont sauvegardées quotidiennement, par exemple.

Inconvénients des solutions commerciales :

• Coût potentiellement élevé et engagement dans la durée : Le revers majeur est évidemment le coût financier. Les licences par utilisateur ou par an peuvent représenter une somme conséquente pour une PME sur plusieurs années. Il faut bien calculer le ROI : certes, le coût d’une perte de données peut être bien plus grand, mais encore faut-il pouvoir budgéter ces abonnements. Par ailleurs, il est fréquent d’être lié par des engagements : contrats annuels ou pluriannuels, reconduction tacite, etc. Sortir d’une solution commerciale pour une autre peut s’avérer compliqué si les données sont dans un format propriétaire (d’où le risque de verrouillage mentionné plus haut). Certains fournisseurs offrent de migrer vos sauvegardes si vous changez de plateforme, mais ce n’est pas garanti. On peut aussi observer des frais additionnels parfois cachés : par exemple, la nécessité d’une licence premium pour activer le chiffrement zéro-connaissance, ou un coût de sortie si vous voulez récupérer toutes vos données à la fin du contrat. Ces aspects contractuels demandent vigilance.
• Dépendance au fournisseur et souveraineté diminuée : En choisissant un service commercial, vous confiez une partie de vos données (vos sauvegardes) à un tiers. Si c’est un service cloud international, cela peut poser des questions de souveraineté numérique : vos backups de courriels O365 se retrouvent peut-être sur des serveurs aux États-Unis ou gérés par une société américaine. Pour une PME québécoise, cela signifie que ces données sont potentiellement sujettes à des lois étrangères (ex : le CLOUD Act américain) même si elles sont stockées sur le sol canadien. Cela peut compliquer la conformité à la Loi 25, qui exige de savoir où et sous quelle juridiction sont les données personnelles. La dépendance se manifeste aussi en pratique : si le fournisseur subit une panne de son système de sauvegarde, vos backups pourraient être inaccessibles au moment critique. Ou s’il décide de cesser son service (faillite, rachat), vous devrez en urgence migrer vos données de sauvegarde. Bref, on délègue beaucoup, parfois au détriment de la souveraineté et du contrôle total. C’est un choix assumé, mais qu’il faut mesurer en regard de la nature de vos données (certaines très sensibles ne peuvent pas légalement être transférées hors de certains cadres).
• Complexité cachée pour certaines solutions : Si beaucoup de solutions commerciales se veulent simples, ce n’est pas universellement vrai. Par exemple, Veeam Backup for Microsoft 365, un outil prisé des moyennes entreprises, nécessite d’installer et maintenir un serveur Windows local, avec plusieurs composants (explorateurs SharePoint, Exchange, etc.) pour fonctionner, et son interface est un logiciel à installer (pas de console web multi-OS). Ce n’est pas insurmontable, mais cela demande tout de même une expertise technique pour bien l’implanter. Par comparaison, d’autres produits comme Acronis Cyber Protect privilégient une approche unifiée, tout-en-un dans le cloud, simplifiant le déploiement. Donc toutes les solutions commerciales ne sont pas équivalentes en facilité : certaines, axées “entreprise”, sont aussi complexes qu’un FOSS, la différence étant que vous avez un support au bout du fil en cas de souci. Ainsi, il faut choisir une solution adaptée à son niveau de compétence interne : une PME sans équipe TI préfèrera un produit 100 % infonuagique, alors qu’une organisation avec administrateurs système pourra gérer un Veeam local sans problème et apprécier sa richesse fonctionnelle.
• Évolutions dictées par l’éditeur : Avec un logiciel propriétaire, vous dépendez du bon vouloir de l’éditeur pour les améliorations ou changements. Si la solution ne propose pas (encore) la sauvegarde de Google Workspace alors que vous en auriez besoin, vous ne pouvez que patienter en espérant une future version, ou changer de produit. De même, l’éditeur peut faire évoluer sa roadmap en fonction de ses intérêts commerciaux, pas forcément alignés sur vos besoins spécifiques. Par exemple, certains fournisseurs privilégient d’abord Microsoft 365 car la demande est forte, et ne développent la prise en charge de Google Workspace que plus tard (ou l’inverse). Si votre environnement est “mixte” (Google et Microsoft), peu de solutions commerciales couvrent parfaitement les deux : il faut parfois souscrire à deux produits distincts, ce qui ajoute du coût et de la complexité.

En somme, les solutions commerciales brillent par leur praticité et leur richesse, ce qui les rend très attractives pour les PME cherchant une mise en œuvre rapide et un support fiable. Toutefois, elles impliquent de faire confiance à un fournisseur tiers, tant en termes financiers qu’en matière de sécurité des données. Pour beaucoup de PME, cela reste un compromis raisonnable : il vaut parfois mieux payer un service éprouvé que de mal gérer un outil gratuit. L’important est de sélectionner le bon partenaire : assurez-vous que le fournisseur comprend les enjeux locaux (langue, Loi 25, hébergement canadien si nécessaire), qu’il a bonne réputation (certifications de sécurité, etc.), et qu’il convient à votre taille (certaines solutions ciblent les grandes entreprises et sont surdimensionnées pour une PME de 20 personnes, par exemple). À noter que des entreprises québécoises spécialisées, comme Blue Fox, peuvent vous conseiller dans ce choix et même prendre en charge l’exploitation quotidienne de l’outil retenu, qu’il soit open source ou commercial, vous offrant ainsi le meilleur des deux mondes : la tranquillité d’un service géré, et l’indépendance de la solution la plus adaptée.

Panorama des solutions FOSS populaires

Il existe de nombreux logiciels libres pouvant servir à sauvegarder les données de Google Workspace et Microsoft 365, chacun avec ses caractéristiques. Voici un tour d’horizon de quelques outils FOSS reconnus qui pourraient entrer dans votre stratégie de sauvegarde :

• BorgBackup : Souvent simplement appelé Borg, il s’agit d’un utilitaire de sauvegarde en ligne de commande axé sur la déduplication et l’efficacité. Borg sauvegarde les fichiers en ne stockant que les blocs de données uniques (aucune redondance), ce qui le rend très économe en espace, idéal si vous avez des données similaires ou beaucoup de versions. Il prend en charge la compression (pour réduire la taille) et le chiffrement authentifié (pour la confidentialité des backups). Borg est apprécié pour sa fiabilité et sa vitesse en mode incrémental : après une première sauvegarde complète, les suivantes ne copient que les changements. Pour une PME, Borg peut sauvegarder par exemple un export régulier des données (comme une arborescence de fichiers issus d’une synchronisation OneDrive/Drive, ou un dump d’emails). Il nécessite un peu de travail pour le scheduler (via cron) et pour la restauration (là aussi en ligne de commande ou via un outil tiers comme Vorta qui offre une interface graphique à Borg). Avantage notable : son format d’archive et son protocole peuvent fonctionner en mode serveur (vous pouvez déployer un dépôt Borg sur un NAS ou un serveur distant accessible en SSH). Borg est donc souvent utilisé pour sauvegarder vers un serveur externe ou dans le cloud (en montant un stockage type S3 via FUSE par exemple). Mûr et stable, Borg est un allié puissant si vous êtes à l’aise avec Linux.
• Restic : Restic est un autre pilier du backup open source moderne. Écrit en Go, il est conçu pour être simple d’usage, rapide et sécurisé. Comme Borg, il opère en ligne de commande, offre la déduplication, le chiffrement, et supporte de nombreux backend de stockage (local, FTP, SFTP, WebDAV, Amazon S3, Backblaze B2, Google Cloud Storage, etc.). Restic est apprécié pour son design épuré : un seul binaire à déployer, pas de configuration compliquée. Vous lancez restic init pour initialiser un dépôt, puis des commandes restic backup pour sauvegarder tel répertoire vers telle destination. Il gère les snapshots, la restauration partielle, la vérification d’intégrité des backups. Pour une PME, restic pourrait par exemple être scripté pour sauvegarder chaque nuit le contenu d’un Google Drive monté sur un PC, ou les boîtes mails exportées via IMAP. Son code étant open source, il bénéficie d’audits réguliers et se veut très sûr (usage intensif de l’authentification et chiffrement pour éviter toute altération silencieuse des données). Restic n’a pas d’interface native mais plusieurs outils tiers existent pour le rendre plus convivial si besoin. En résumé : un couteau suisse du backup, polyvalent et fiable, convenant bien aux environnements hétérogènes grâce à ses nombreuses cibles de stockage supportées.
• Duplicati : Contrairement aux deux précédents, Duplicati se distingue par la présence d’une interface web intuitive qui facilite grandement sa prise en main. Multi-plateforme (Windows, macOS, Linux), il permet de planifier des sauvegardes de fichiers en quelques clics via un navigateur. Duplicati stocke les backups sous forme d’archives compressées chiffrées (formats standard ZIP/AES par défaut) sur une variété de destinations : disques locaux, serveurs réseau (FTP, WebDAV), ou services cloud grand public (OneDrive, Google Drive, Amazon S3, etc., une longue liste est supportée nativement). Cette compatibilité avec les clouds en fait un excellent candidat pour sauvegarder vos données SaaS : par exemple, on peut configurer Duplicati sur un serveur local pour qu’il se connecte à votre compte OneDrive et y stocke une copie chiffrée de certaines données, ou inversement sauvegarder localement des données cloud synchronisées. L’un des points forts de Duplicati est d’être open-source mais user-friendly : on n’a pas besoin de connaissances pointues pour le faire marcher. Il gère les sauvegardes complètes et incrémentielles, la rétention (suppression automatique des anciennes versions selon une politique que vous définissez), et utilise des outils standards (il repose sur des composants comme ZIP pour la compression et AES-256 pour le chiffrement, ce qui garantit qu’on peut toujours ouvrir les archives par d’autres moyens en cas de besoin). À noter : Duplicati est en développement actif (version 2 en cours) et, bien qu’assez stable pour un usage normal, certains très gros jeux de données peuvent le mettre à mal en performance. Pour une PME classique toutefois (quelques teraoctets à sauvegarder au plus), il fait très bien l’affaire.
• Kopia : Plus jeune sur la scène (développé depuis 2019 environ), Kopia est un projet prometteur qui vise à combiner le meilleur de ses prédécesseurs. Également open source, multi-OS, Kopia offre performance et chiffrement par défaut, avec une interface en ligne de commande et une interface graphique optionnelle. Il reprend le principe de la déduplication globale, du stockage incrémentiel, et supporte divers backends (de S3 à Google Cloud, en passant par le stockage local ou SFTP). L’un de ses atouts est la vitesse : il exploite les architectures multi-cœurs pour paralléliser les tâches, ce qui le rend très rapide sur des sauvegardes volumineuses. Kopia a aussi une gestion intelligente des snapshots (points de restauration) et autorise plusieurs configurations de dépôts simultanés. Pour une PME, Kopia peut être intéressant s’il évolue vers encore plus de facilité (son interface graphique est en cours de développement, ce qui le rendra plus accessible). Il est souvent comparé à Restic, dont il se veut une alternative avec potentiellement de meilleures performances sur certains aspects et un développement très actif.
• Autres outils notables : On pourrait citer également Bacula (et sa version moderne Bareos) qui est un grand classique de la sauvegarde open source en entreprise : très complet mais complexe à configurer, il convient plutôt aux environnements mixtes (sauvegarde de serveurs, de bases de données, etc., avec agents à déployer). UrBackup est une solution libre axée sur la sauvegarde des PC/serveurs (images disque ou fichiers) via un serveur central, avec interface web, cela pourrait couvrir la sauvegarde des postes de travail contenant des données synchronisées depuis le cloud. Il existe aussi des utilitaires spécifiques pour certaines données SaaS : par exemple Gmail Backup ou Gmvault pour sauvegarder des courriels Gmail en IMAP, ou Google Takeout (l’outil d’export de Google) qui peut être automatisé et dont les résultats pourraient ensuite être archivés via un outil comme Borg/Restic. L’univers FOSS offre donc un éventail de briques qu’on peut assembler selon ses besoins précis, au prix d’efforts d’intégration.

Il est important de noter qu’aucun de ces outils FOSS n’est conçu spécifiquement comme LA solution clé en main pour Google Workspace ou Microsoft 365. Souvent, on les utilise en combinaison avec des scripts ou d’autres services : par exemple, on peut programmer une extraction régulière des données (via les API de Microsoft Graph ou Google) puis stocker ces exports via Restic ou Duplicati. C’est ici que l’expertise et l’accompagnement professionnel entrent en jeu pour les PME : un intégrateur comme Blue Fox pourra développer ces automatismes et fournir une solution libre « sur mesure » répondant à vos exigences (y compris de chiffrer les sauvegardes et les stocker sur des serveurs québécois, afin de concilier efficacité et conformité).

Panorama des solutions commerciales populaires

Le marché des solutions de sauvegarde professionnelles pour Microsoft 365 et Google Workspace est bien développé, avec de nombreux acteurs proposant des produits éprouvés. Voici un aperçu de quelques plates-formes commerciales souvent considérées par les PME, chacune ayant ses points forts particuliers :

• Veeam Backup for Microsoft 365 : Veeam est un nom bien connu dans le monde de la sauvegarde, surtout pour les infrastructures virtualisées. Sa solution dédiée à Microsoft 365 (Exchange Online, OneDrive, SharePoint, Teams) est très complète en termes de fonctionnalités de sauvegarde et de restauration. Veeam permet de stocker localement les données sauvegardées (sur votre serveur, un NAS ou dans un cloud de votre choix) et offre des outils de restauration granulaires (par exemple, restaurer un email individuel vers la boîte d’origine, ou exporter des données en formats standard PST, etc.). L’avantage pour l’entreprise est le contrôle total : les backups restent chez vous ou dans l’emplacement que vous définissez, ce qui peut aider à respecter des exigences de conformité. Veeam fournit aussi une certaine unification : si vous utilisez déjà Veeam pour sauvegarder vos serveurs ou VMs, l’ajout du module Office 365 s’intègre dans une console similaire, avec possibilité de centraliser le reporting. En revanche, Veeam n’est pas fourni en mode SaaS : il faut installer le logiciel sur un serveur Windows que vous gérez, ainsi que les composants nécessaires (les “Explorers” pour parcourir les backups Exchange, SharePoint…). Cela implique un peu de maintenance et de ressources de votre part. Pour des PME disposant d’un service TI compétent ou accompagnées par un prestataire, c’est un excellent choix offrant fiabilité et performance. À noter que Veeam ne propose pas de produit équivalent pour Google Workspace à ce jour : c’est vraiment centré Microsoft. Si vous êtes exclusivement sur Microsoft 365, c’est un candidat de choix ; sinon, il faudra compléter par autre chose pour Google.
• Acronis Cyber Protect : Acronis est un éditeur historique de solutions de sauvegarde, qui a fait évoluer son offre vers une plateforme unifiée de cyberprotection. Son produit Acronis Cyber Protect (sous forme de service cloud géré par Acronis ou déployable on-premise) permet de sauvegarder à la fois des postes de travail, des serveurs, et les environnements Microsoft 365 et Google Workspace. C’est donc une solution tout-en-un intéressante si vous cherchez à couvrir plusieurs périmètres (par ex. à la fois les données cloud SaaS et les laptops des employés). Acronis se distingue par l’intégration de fonctionnalités de sécurité : détection de ransomware, scan antivirus des backups, etc., évitant de sauvegarder des fichiers déjà infectés ou de propager des menaces. Côté sauvegarde M365/Google, c’est une approche full SaaS : un agent dans le cloud se connecte à vos tenants via API et réalise les copies vers le stockage Acronis (localisé dans des centres de données au choix, possiblement au Canada selon les options). L’expérience utilisateur est appréciée pour sa simplicité : tout se gère depuis une console web moderne, multi-tenant (pratique pour les MSP qui gèrent plusieurs clients, ou pour isoler des départements). En termes de coût, Acronis fonctionne par abonnement par workload (par exemple par utilisateur M365 ou par périphérique), avec différents niveaux selon les fonctionnalités. Cela offre de la flexibilité (on peut n’acheter que ce dont on a besoin), mais cela peut paraître complexe à naviguer. L’un des bénéfices pour une PME est qu’Acronis a une présence locale via des partenaires : plusieurs fournisseurs québécois proposent les solutions Acronis à leurs clients PME, ce qui garantit un support de proximité. Si vous recherchez une solution centralisée qui coche la case backup SaaS et protection endpoint ensemble, Acronis est un prétendant sérieux.
• AvePoint Cloud Backup : AvePoint est un partenaire de longue date de Microsoft, reconnu initialement pour ses outils autour de SharePoint. Ils offrent aujourd’hui une solution de sauvegarde 100 % cloud couvrant Microsoft 365 et Google Workspace. C’est l’une des rares à bien adresser les deux environnements dans une interface unifiée. Son positionnement est clairement le service “cliquez et oubliez” : une fois configuré (quelques clics pour connecter vos comptes administrateur O365/G Workspace), le système effectue des sauvegardes quotidiennes automatisées (jusqu’à 4 fois par jour pour Microsoft 365, par exemple). Les données sont stockées chiffrées sur le cloud d’AvePoint (avec possibilité de choisir la région de stockage, ce qui est important pour la conformité, ils ont notamment une présence au Canada). AvePoint propose des restaurations granulaires via une interface web, ou même via des chatbots Teams (un utilisateur peut restaurer un fichier via un chatbot, ce qui est assez innovant). Le point fort est la profondeur fonctionnelle : d’après des comparatifs, AvePoint offre un très large éventail de types de contenu couverts (emails, calendriers, contacts, OneDrive/SharePoint/Teams, mais aussi Gmail, Google Drive, Contacts, Calendriers côté Google). C’est une solution mûre, adoptée y compris par de grandes organisations, et disponible via des MSP ou revendeurs locaux pour les PME. Côté budget, AvePoint fonctionne par abonnement annuel par utilisateur sauvegardé, positionné dans les prix du marché haut de gamme. Mais pour ce prix, la PME obtient une solution robuste, sans maintenance interne. Si votre priorité est d’avoir une sauvegarde SaaS sans tracas pour tous vos services cloud, avec l’appui d’un grand nom, AvePoint est une option à envisager.
• Druva (CloudRanger/inSync) : Druva est un acteur spécialisé dans la sauvegarde cloud-native. Sa plateforme (nommée Druva InSync pour la partie endpoints & SaaS) est entièrement hébergée dans le cloud public et proposée en mode abonnement. Druva couvre la sauvegarde des postes (PC/Mac mobiles), des serveurs, mais aussi de Microsoft 365 et Google Workspace. Son credo est la simplicité et l’évolutivité : en tant que client, on n’a rien à installer localement, tout se fait via leur console cloud. Druva est pensé pour minimiser l’intervention humaine, par exemple, l’on peut définir des politiques qui auto-incluent tous les nouveaux utilisateurs O365 dans la sauvegarde, ou qui adaptent la fréquence selon les groupes d’utilisateurs. Le stockage des backups est géré par Druva dans le cloud (basé sur AWS généralement) avec des mécanismes d’immutabilité (les sauvegardes ne peuvent être altérées ni supprimées prématurément, utile contre les attaques). Niveau sécurité, ils chiffrent de bout en bout et offrent des options de clé de chiffrement détenue par le client. Pour une PME sans infrastructure locale, Druva est attrayant car on peut tout administrer depuis un navigateur, et laisser l’aspect volumétrie / performance à la charge du fournisseur. En général, les retours soulignent une grande fiabilité (taux de réussite des backups élevé, restauration efficace) et un support compétent. Le modèle de prix est aussi par utilisateur par an, souvent avec un minimum d’utilisateurs requis (leur cible est plutôt les environnements de taille moyenne à grande, mais des offres PME existent). En choisissant Druva, on choisit le tout-cloud et l’expérience d’un spécialiste du genre. La PME doit toutefois s’assurer que l’hébergement des sauvegardes par Druva se fait dans une région conforme (Druva permet de choisir la région AWS, donc on peut opter pour le Canada).
• Autres solutions commerciales à noter : Le paysage est vaste. On peut également mentionner Barracuda Cloud-to-Cloud Backup (par Barracuda Networks), Datto SaaS Protection (Backupify), très utilisé par des MSP pour les PME, qui offre backup O365/Google en cloud, ou encore des solutions comme Commvault Metallic (offre SaaS de Commvault) qui ciblent aussi ce marché. Microsoft lui-même a annoncé l’aperçu de Microsoft 365 Backup (solution native de backup par Microsoft) en 2023, mais à ce jour ce service est en préversion et nécessite de coupler avec un partenaire tiers pour le stockage, il n’est pas encore prêt à remplacer les solutions établies. Enfin, citons Spanning Backup (une division de Kaseya) qui est un pionnier de la sauvegarde SaaS pour Google Apps/Microsoft 365, ou Veritas (Alta) SaaS Backup. Chacune de ces solutions a ses spécificités en termes de tarifs, d’expérience utilisateur, de profondeur de couverture. Pour une PME, le choix se fait souvent avec l’aide d’un intégrateur ou d’un consultant, qui pourra recommander l’outil aligné sur les besoins et le budget.

En définitive, la bonne nouvelle est qu’il existe aujourd’hui des solutions éprouvées pour sauvegarder efficacement les environnements infonuagiques, quelle que soit votre préférence pour l’open source ou le commercial. Dans la section suivante, nous aborderons les considérations de sécurité et de conformité, qui sont au cœur des préoccupations lors du choix et du déploiement de ces solutions.

Sécurité, conformité et options d’hébergement des données

La souveraineté des données, la localisation et la résidence des données sont des notions liées mais distinctes, qu’il est essentiel de comprendre pour gérer la conformité légale de vos sauvegardes.

Lorsque l’on parle de sauvegarder des données d’entreprise, qu’elles proviennent de serveurs locaux ou du cloud, il faut impérativement tenir compte de la sécurité de ces sauvegardes et de la conformité légale quant à leur stockage. Pour les PME québécoises, deux enjeux clés sont la protection des renseignements personnels (exigée par la Loi 25) et la souveraineté des données (où et sous quelle juridiction les données sont hébergées).

Chiffrement et contrôle d’accès : La première couche de sécurité pour vos backups est le chiffrement. Que vous optiez pour une solution FOSS ou commerciale, assurez-vous que les données sauvegardées soient chiffrées, idéalement de bout en bout. Cela signifie que les données sont chiffrées avant même de quitter votre environnement de production, et ne sont déchiffrables que par vous (avec votre clé). Ainsi, si un tiers mettait la main sur vos fichiers de sauvegarde, il ne pourrait rien en tirer. La plupart des solutions open source (Borg, Restic, Duplicati, etc.) chiffrent en AES-256 ou équivalent avec une passphrase que vous définissez. Côté solutions commerciales, beaucoup offrent l’option d’un chiffrement géré par le client : par exemple, Druva ou Acronis permettent d’activer une clé privée détenue par vous seul. Il est crucial de profiter de ces fonctionnalités : une sauvegarde non chiffrée est un risque majeur (imaginez qu’un stockage cloud tiers soit compromis, toutes vos données sensibles pourraient fuiter en clair). Au-delà du chiffrement, le contrôle d’accès aux consoles de sauvegarde doit être rigoureux. Attribuez des rôles et permissions minimales : par exemple, un technicien peut avoir le droit de restaurer un fichier utilisateur sur demande, mais pas d’effacer des sauvegardes. Les solutions commerciales offrent souvent une gestion granulaire des accès (multi-admin, audit des opérations). Sur un système FOSS, il faudra implémenter ces contrôles via les droits du système (par exemple, restreindre l’accès au serveur de sauvegarde à certaines personnes de confiance seulement). N’oublions pas les bonnes pratiques : utiliser l’authentification multifactorielle sur les comptes administrateurs de la solution de sauvegarde (surtout si c’est accessible en ligne), consigner les opérations (qui a restauré quoi, quand), et tester régulièrement que les sauvegardes sont récupérables (un backup non testé n’est pas un backup fiable !).

Conformité à la Loi 25 et aux normes de protection des données : Depuis septembre 2022 pour certaines dispositions (et 2023 pour d’autres), la Loi 25 du Québec impose aux entreprises des exigences accrues en matière de protection des renseignements personnels. Deux obligations notables s’appliquent directement à notre contexte : d’une part, celle de protéger adéquatement les données personnelles sous votre garde (ce qui inclut de ne pas les laisser exposées dans des sauvegardes non sécurisées, par exemple), et d’autre part, celle d’être transparente quant à l’endroit où ces données sont hébergées. Si vos sauvegardes contiennent des renseignements sur des individus (employés, clients, etc.), vous devez donc savoir et pouvoir expliquer où elles se trouvent physiquement et sous quelle juridiction. La Loi 25 prévoit par ailleurs que si vous transférez des données personnelles hors du Québec, vous devez effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) pour vous assurer que ces données recevront un niveau de protection équivalent à celui du Québec. Cela ne signifie pas qu’on ne peut pas utiliser de services cloud étrangers, mais qu’il faut le faire en connaissance de cause et prendre des mesures additionnelles au besoin (chiffrement fort, clauses contractuelles, choix d’une région de stockage adéquate, etc.). En cas de manquement sérieux, la Commission d’accès à l’information peut infliger des sanctions importantes, d’où l’intérêt de documenter votre stratégie de sauvegarde du point de vue conformité.

Souveraineté des données et emplacement d’hébergement : On entend par souveraineté des données le fait que les données sont soumises aux lois du pays où elles se trouvent. Pour simplifier, si vos sauvegardes sont stockées au Québec (sur un serveur que vous opérez), elles sont régies par la loi canadienne et québécoise sur la vie privée (Loi 25, LPRPDE fédérale). En revanche, si vous confiez ces sauvegardes à un fournisseur dont le siège est à l’étranger, il y a un risque que des lois étrangères s’appliquent. Un exemple concret : une PME québécoise héberge ses backups chez un fournisseur cloud américain, même sur des serveurs situés à Montréal, en vertu du CLOUD Act américain, ce fournisseur pourrait être contraint de remettre ces données aux autorités américaines sur demande. La localisation physique ne suffit donc pas toujours : ce qui compte est aussi le contrôle de l’entreprise qui héberge les données. Pour cette raison, de plus en plus d’organisations optent pour des fournisseurs dits « cloud souverain », c’est-à-dire locaux et indépendants des grands groupes étrangers, pour héberger leurs sauvegardes sensibles. Par exemple, Blue Fox et d’autres proposent des services d’hébergement de sauvegardes 100 % québécois, garantissant que les données restent sous juridiction canadienne uniquement. Selon la sensibilité de vos données, c’est une option à évaluer. À défaut, si vous utilisez un service étranger, assurez-vous de bien comprendre où les données seront stockées (certains proposent le choix de la région : choisissez “Canada” quand disponible) et qui peut y avoir accès.

Hébergement local vs cloud : Ce choix a un impact direct sur la sécurité et la conformité. Hébergement local (on-premise) signifie que vous conservez vos sauvegardes sur des disques/serveurs dans vos locaux ou vos centres de données. L’avantage est le contrôle total : pas de transit sur Internet (si local à 100 %), pas de tiers ayant accès, et vous savez exactement qui gère l’accès physique et logique. C’est rassurant pour la confidentialité, et cela peut faciliter la conformité (vos données ne quittent pas le pays). Par contre, il faut assumer la sécurité de A à Z : chiffrer les backups pour parer au vol de matériel, prévoir de la redondance (parce qu’un backup local unique peut brûler dans un incendie, par exemple), et protéger ces sauvegardes des sinistres locaux. De plus, si vos locaux sont cambriolés, les sauvegardes peuvent être ciblées, d’où l’idée de stocker une copie hors site malgré tout. Hébergement cloud (chez un fournisseur) présente l’intérêt de la réplication géographique et de la robustesse : les grands clouds ont des mesures anti-incendie, anti-panne sophistiquées. Confier vos backups à Microsoft Azure, Amazon ou Google Cloud vous assure qu’ils ne disparaîtront pas pour cause de disque dur en panne, mais cela vous expose aux enjeux de souveraineté mentionnés. Une solution hybride consiste à chiffrer très fortement vos données avant de les envoyer sur un cloud étranger : ainsi, même si une autorité étrangère y accédait, elles seraient incompréhensibles sans vos clés. Par exemple, vous pourriez utiliser Restic pour chiffrer vos backups et les stocker sur Amazon S3 (région Montréal), combinant la résilience du cloud et la confidentialité du chiffrement auto-géré.

Conformité sectorielle et durée de conservation : Pensez aussi aux normes spécifiques de votre secteur. Certaines industries exigent de conserver les backups un certain temps (par ex. 7 ans dans le secteur financier ou pour des documents liés à des transactions). D’autres imposent des mesures d’audit régulières. Assurez-vous que la solution choisie permet de régler la durée de rétention des sauvegardes conformément à vos obligations. Par exemple, une solution commerciale pourrait vous permettre de marquer certaines sauvegardes comme “légal hold” pour ne pas les purger avant une date donnée. Avec une solution open source, il faudra configurer les politiques de rétention avec attention (ne pas effacer automatiquement des backups de plus de X jours si ce n’est pas souhaitable). La destruction sécurisée des données en fin de vie est également un aspect : effacer un vieux backup contenant des données personnelles doit idéalement rendre celles-ci irrécupérables. Là encore, si c’est vous qui gérez le stockage, à vous de vous en charger (démagnétisation de bandes, suppression sécurisée de fichiers). Si c’est un fournisseur, interrogez-le sur sa politique à ce sujet.

En somme, la sécurité et la conformité des sauvegardes sont un effort multi-facettes : technique (chiffrement, accès, tests), juridique (lieu de stockage, contrats avec fournisseurs) et organisationnel (politiques internes, formation). Pour une PME, cela peut sembler lourd, mais s’entourer de partenaires compétents aide grandement. Des consultants spécialisés en cybersécurité ou en protection des données peuvent réaliser avec vous des EFVP pour valider vos choix, et des fournisseurs locaux comme Blue Fox peuvent garantir un hébergement conforme aux lois québécoises tout en vous accompagnant sur la mise en œuvre sécurisée. L’objectif final : que vos sauvegardes remplissent leur rôle de filet de sécurité sans créer de nouvelle vulnérabilité ni vous mettre en porte-à-faux vis-à-vis de la réglementation.

Facilité de mise en œuvre et de maintenance

Dernier aspect, et non des moindres : la praticité au quotidien de la solution choisie. Une sauvegarde, pour être efficace, doit être déployée correctement puis suivie dans le temps. Là encore, les approches FOSS et commerciales diffèrent sur la façon d’y parvenir.

Mise en œuvre initiale : Du côté FOSS, la phase d’implémentation demandera typiquement un travail d’intégration plus important. Installer le logiciel (souvent sur Linux), le configurer (scripts de sauvegarde, authentification aux API cloud si nécessaire, paramétrer le chiffrement, etc.), tester la première sauvegarde, ajuster… Cela peut représenter plusieurs jours de travail pour un administrateur compétent, surtout s’il faut ensuite automatiser et documenter le processus. En contrepartie, cette mise en œuvre peut être très sur mesure, adaptée exactement aux flux de l’entreprise. À l’opposé, une solution commerciale, surtout en mode SaaS, peut être opérationnelle en quelques heures. Par exemple, pour une PME de 50 personnes sous Microsoft 365, un outil cloud comme AvePoint ou Druva s’installera en créant un compte en ligne, en connectant le tenant (via un consentement OAuth administrateur à l’application du fournisseur), puis en définissant des politiques. En une demi-journée, toutes les boîtes mail, OneDrive et sites SharePoint peuvent être en sauvegarde automatique quotidienne. Pas besoin d’infrastructure, pas besoin de coder des scripts : c’est prêt à servir. De plus, le fournisseur ou le revendeur accompagne souvent cette mise en place initiale par une session de configuration. Il faut reconnaître que pour une PME sans spécialiste interne, c’est un argument de poids : le temps économisé à l’installation peut être investi ailleurs.

Facilité d’utilisation courante : Une fois en place, comment se passe l’utilisation au jour le jour ? Imaginons que vous devez restaurer le fichier X d’un utilisateur qui l’a supprimé il y a un mois. Avec une solution commerciale ayant une interface utilisateur, c’est souvent quelques clics (sélection de l’utilisateur, recherche du fichier via son nom ou sa date, puis clic “Restaurer”). Certaines offrent même des interfaces aux utilisateurs finaux (ex. portail de self-service où chacun peut retrouver ses éléments supprimés). Avec une solution FOSS brute, la restauration pourrait impliquer une série de commandes : d’abord lister les snapshots disponibles, trouver le bon fichier, lancer la restauration vers un répertoire temporaire, puis renvoyer le fichier à l’utilisateur. C’est parfaitement faisable, mais ça réclame plus d’étapes manuelles par un technicien. De même, pour superviser que les backups se passent bien : sur un système open source, on mettra en place des scripts pour envoyer des rapports par courriel ou on consultera les logs régulièrement. Un produit commercial aura souvent un tableau de bord avec voyants verts/rouges, et enverra automatiquement un rapport quotidien du statut des sauvegardes. Ce confort d’administration peut faire la différence dans une petite équipe TI très occupée.

Maintenance et mises à jour : Un logiciel libre nécessitera des mises à jour (par exemple, si vous utilisez Duplicati, il faudrait appliquer la nouvelle version lorsqu’elle sort pour profiter des correctifs). Ce n’est pas fréquent (quelques fois par an en général), mais c’est à vous de le gérer. Idem, si vous ajoutez des utilisateurs ou des données à sauvegarder, il faudra potentiellement ajuster vos scripts ou configurations (le FOSS n’a pas forcément de découverte automatique des nouveaux comptes, sauf à l’avoir programmé). À l’inverse, une solution managée va s’auto-mettre à jour (le fournisseur applique les patches sur son cloud ou vous fournit le package via son updater intégré) et souvent propose des fonctionnalités d’auto-protection (par ex., détecter qu’un nouvel utilisateur a été créé dans Microsoft 365 et l’ajouter automatiquement aux sauvegardes s’il est dans un groupe défini). La maintenance technique pure est donc en grande partie externalisée dans le cas d’un SaaS. Cela réduit le risque d’erreur (comme oublier de mettre à jour et se retrouver avec une incompatibilité). D’un autre côté, vous dépendez du calendrier de l’éditeur : s’il y a un bug bloquant, vous attendez le patch alors que dans le monde open source vous pourriez tenter de le corriger vous-même en urgence (c’est rare toutefois, et réclame des compétences de développement).

Adaptation aux changements : On l’a évoqué : Microsoft et Google font évoluer leurs plateformes. Par exemple, Microsoft introduit un nouvel espace de stockage Loop ou change l’API de Teams. Si vous êtes sur du FOSS, il faudra guetter ces changements et vérifier que votre solution les gère. Peut-être que la communauté sortira un plugin ou une mise à jour pour cela, mais ce n’est pas garanti immédiatement. En environnement commercial, l’éditeur va communiquer sur la prise en charge de ces nouveautés, parfois avec un léger retard, mais c’est clairement dans son scope de travail. On a vu récemment Microsoft annoncer sa propre solution de backup : cela prouve que le domaine bouge, et il faudra rester attentif. L’avantage de collaborer avec un fournisseur ou un intégrateur, c’est que quelqu’un veille pour vous sur ces évolutions. Par exemple, Blue Fox ou un autre partenaire pourraient vous alerter : « Microsoft va augmenter la limite de taille des pièces jointes Teams, on doit adapter la stratégie de backup en conséquence », etc. En somme, la veille technologique est plus soutenue du côté des solutions commerciales (par nature, ils vendent leur capacité à suivre l’état de l’art).

Ressources humaines impliquées : Au final, la facilité de mise en œuvre et maintenance se reflète dans la charge de travail humaine. Un outil compliqué ou mal adapté peut finir… par ne plus être utilisé correctement. Combien d’entreprises mettent en place une sauvegarde puis négligent de surveiller les rapports, découvrant trop tard que ça ne fonctionnait plus depuis 6 mois ? Ce risque existe davantage avec une solution maison ou FOSS non supervisée. Avec un service géré, vous avez généralement des alertes proactives ou un prestataire qui s’en occupe. La question que doit se poser le gestionnaire TI : avons-nous la bande passante pour gérer cette sauvegarde nous-mêmes ? Si oui (et avec plaisir car on aime maîtriser cela), alors open source peut être envisagé en interne. Si non, mieux vaut soit opter pour une solution managée, soit confier la gestion de la sauvegarde à un tiers. D’ailleurs, bon nombre de MSP (fournisseurs de services infogérés) proposent des solutions de sauvegarde cloud pour Microsoft 365/Google Workspace à leurs clients PME, souvent en s’appuyant sur un outil commercial en arrière-plan, mais en fournissant la couche de service et de support humain. Par exemple, la coopérative mentionnée plus tôt (Code3) ou Blue Fox offrent ce genre de service clé en main pour enlever ce poids aux PME. L’intérêt est que l’expertise est mutualisée : vous bénéficiez de personnes qui font ça tous les jours et connaissent les écueils, pour un coût souvent raisonnable par rapport au risque couvert.

En conclusion de cette partie, on pourrait dire que la meilleure solution est celle que l’on est capable d’opérer correctement dans la durée. Une solution de sauvegarde, si sophistiquée soit-elle, ne sert à rien si elle n’est pas configurée à 100 %, surveillée régulièrement et testée. Il vaut mieux une solution simple mais bien gérée qu’une solution théoriquement supérieure mais laissée à l’abandon faute de compétences. La facilité d’utilisation n’est donc pas un luxe : elle conditionne directement l’efficacité de votre protection de données. À ce titre, les solutions commerciales marquent souvent des points décisifs, mais un FOSS bien maîtrisé par vos équipes ou vos partenaires peut tout à fait faire jeu égal, pour peu qu’on lui consacre l’attention nécessaire.

Conclusion

Sauvegarder les environnements Google Workspace et Microsoft 365 n’est plus optionnel, c’est une assurance vitale pour la pérennité des opérations de nos PME, à l’ère où une bonne partie du patrimoine informationnel se trouve dans ces clouds. Nous avons vu qu’il existe deux familles de solutions pour y parvenir, les logiciels libres (FOSS) et les plateformes commerciales propriétaires, chacune avec ses mérites et ses contraintes. Le choix entre les deux n’est pas manichéen : il dépend de multiples facteurs propres à votre entreprise.

Si l’on récapitule : les solutions FOSS offrent une maîtrise totale, une indépendance vis-à-vis des fournisseurs et un coût direct très faible. Elles séduiront les gestionnaires TI qui valorisent la souveraineté numérique, la transparence du code et l’adaptabilité, ou ceux qui ont des contraintes budgétaires serrées et sont prêts à compenser par du temps/compétence interne. En revanche, elles requièrent un engagement technique plus fort : ce sont des outils qu’il faut opérer, intégrer, bichonner pour en tirer le meilleur. Pour une PME avec peu de ressources TI, cela peut être un défi, mais pas insurmontable si on s’appuie sur de l’accompagnement. Au Québec, on constate d’ailleurs un mouvement favorable aux logiciels libres dans les PME et OBNL, porté par des acteurs comme Blue Fox entre autres, qui peuvent aider à implanter ces solutions FOSS sur mesure et en assurer la gestion pour le client. Ainsi, même une petite structure peut bénéficier de la puissance du libre sans en subir la complexité directe, grâce à un service géré autour du FOSS.

Les solutions commerciales, de leur côté, apportent un confort d’utilisation et une complétude fonctionnelle souvent inégalés. Pour un gestionnaire TI de PME qui porte plusieurs chapeaux, c’est rassurant de savoir que la sauvegarde tourne dans un coin, surveillée par un fournisseur qui le fait pour des milliers de clients. L’interface agréable, le support en cas de souci, les mises à jour automatiques, tout cela réduit le risque d’erreur et assure une certaine fiabilité. Bien sûr, cela a un coût, qu’il faut mesurer par rapport aux bénéfices tangibles (temps gagné, risque mitigé). Parfois la dépense en vaut largement la peine si elle évite ne serait-ce qu’une journée d’arrêt ou une perte de données critiques. Il faut toutefois rester vigilant sur la conformité : qui dit service externe dit vérifier où vont les données et sous quelles lois. Mais là encore, on trouve sur le marché des offres alignées avec nos besoins locaux (par ex. des sauvegardes cloud dont les données restent au Canada, ou des fournisseurs qui connaissent Loi 25 et intègrent ces notions).

En fin de compte, le meilleur choix peut être un mix : utiliser du FOSS pour certaines sauvegardes spécifiques et une solution commerciale pour d’autres, ou commencer avec une solution managée puis migrer vers une solution open source interne à mesure que l’équipe TI monte en compétence. L’important est d’avoir une stratégie de sauvegarde claire et testée. Peu importe l’outil, assurez-vous d’avoir documenté : Qu’est-ce qui est sauvegardé ? À quelle fréquence ? Où ? Comment restaure-t-on ? Qui contacter en cas de problème ? Aucune solution (libre ou payante) n’élimine la nécessité de cette réflexion.

Pour les gestionnaires TI de PME québécoises, le sujet de la sauvegarde des Workspace et Office 365 doit être démystifié : non, tout n’est pas automatiquement conservé éternellement dans le cloud, et oui, il existe des solutions abordables et efficaces pour protéger ces données cloud critiques. Que vous soyez fan de logiciels libres ou adepte des suites clés en main, l’essentiel est d’agir : mettez en place cette bouée de sauvetage qui un jour, peut-être, sauvera votre entreprise d’une catastrophe numérique. Et n’hésitez pas à vous faire accompagner : des entreprises spécialisées comme Blue Fox offrent ce type de service aux PME québécoises, combinant expertise du FOSS, connaissance de la réalité locale et appui personnalisé. Avec le bon partenaire et la bonne solution, vous pourrez dormir sur vos deux oreilles en sachant que même dans le pire des cas, vos données resteront à portée de main.

Sources et bibliographie :

• Article de blogue CODE3 : « Pourquoi faire un backup de service cloud comme Microsoft 365 et Google Workspace ? » (29 avril 2025), Souligne que les fournisseurs cloud ne garantissent pas la récupération complète des données supprimées ou corrompues et rappelle que le cloud n’est pas une sauvegarde (délai de rétention limité et risques de pertes définitives).
• Veeam (blog en français) : « Le modèle de partage des responsabilités Microsoft 365 » (février 2025), Extrait du contrat de service Microsoft indiquant « Nous vous recommandons de sauvegarder régulièrement votre contenu et vos données [...] à l’aide de services tiers », ce qui confirme que Microsoft encourage l’usage d’une sauvegarde externe pour protéger les données M365.
• ited.com : « CLOUD Act et FISA : assurez la souveraineté de vos données » (article 2025), Mentionne la Loi 25 du Québec, comparable au RGPD, qui exige des entreprises qu’elles protègent les renseignements personnels et soient transparentes quant à l’endroit où les données sont hébergées, sous peine de sanctions importantes.
• ited.com : même source que ci-dessus, Explique qu’une PME québécoise stockant ses données au Canada bénéficie des lois canadiennes (Loi 25, LPRPDE)… sauf si le fournisseur cloud est contrôlé par une entité étrangère, soulignant le risque lié au CLOUD Act lorsque l’hébergeur est américain.
• Zmanda (blog) : « Pourquoi les solutions de sauvegarde basées sur Open Source changent la donne » (mars 2023), Indique que les solutions de sauvegarde open source sont disponibles gratuitement ou à faible coût, idéales pour les entreprises aux budgets serrés, tout en offrant plus de flexibilité et de personnalisation comparé aux logiciels propriétaires.
• Zmanda (même article), Souligne la transparence accrue des solutions de sauvegarde open source : code source auditable, permettant de vérifier le modèle de sécurité et de repérer d’éventuelles vulnérabilités, ce qui apporte une plus grande sécurité aux utilisateurs soucieux de leurs données.
• Zmanda (même article), Met en avant qu’avec des formats ouverts pour les données sauvegardées, les utilisateurs de solutions open source évitent le verrouillage fournisseur : ils peuvent migrer leurs données vers une autre solution sans perte ni conversion, préservant l’accès aux backups dans le temps.
• Bacula Systems (blog) : « Solutions et outils de sauvegarde de Microsoft 365 en 2025 », Mentionne que les modèles de tarification sur le marché de la sauvegarde M365 peuvent être complexes, avec des licences multiples et divers suppléments de prix selon les composants (Exchange, SharePoint, etc.) à sauvegarder.
• Bacula Systems (même article), Indique qu’il est courant que les solutions de sauvegarde facturent à l’utilisateur M365, ce qui peut sembler abordable au début mais devenir coûteux à grande échelle (on commence avec un prix modique, puis on atteint un prix global élevé simplement à cause du nombre d’utilisateurs).
• Palmiq (blog) : « Acronis vs Veeam : Which Fits Your Business? » (sept. 2025), Compare la facilité de déploiement : note qu’Acronis propose une solution tout-en-un plus simple à déployer et à maintenir, alors que Veeam, bien que très puissant, requiert l’utilisation de multiples outils et davantage d’expertise technique pour être implémenté efficacement.