Pourquoi sauvegarder ses données Google Workspace et Microsoft 365

De nombreuses PME pensent à tort que leurs données « vivent en toute sécurité » dès qu’elles sont dans le Cloud. Après tout, Google et Microsoft investissent des milliards dans la sécurité de leurs infrastructures. Pourtant, les fournisseurs le rappellent eux-mêmes : ils assurent la disponibilité et la fiabilité des plateformes, mais pas la protection éternelle de chaque fichier. C’est ce qu’on appelle le modèle de responsabilité partagée : le prestataire sécurise le « cloud » (infrastructure), mais la sauvegarde et la restauration des données utilisateur restent de votre ressort. En bref, « ni Microsoft ni Google ne garantissent la restauration complète de vos données après une suppression accidentelle ou malveillante ». Autrement dit, confier ses données au Cloud ne dispense pas d’en faire soi-même une copie de secours.

Limites des protections natives

Google Workspace

Dans Google Workspace (Gmail, Drive, Agenda…), les outils intégrés ont de nombreuses contraintes. Par exemple, un email supprimé passe dans la corbeille de l’utilisateur… mais n’y reste que 30 jours avant d’être définitivement perdu. Au-delà, l’administrateur G Suite a encore 25 jours pour le restaurer via la console d’administration, puis il disparaît pour de bon. Même chose pour Google Drive : lorsqu’un utilisateur vide sa corbeille, Google ne garde les données supprimées que 25 jours, après quoi il n’en reste aucune trace récupérable. En pratique, la plupart des fichiers effacés dans Drive ou Docs finissent irrémédiablement perdus au bout de 30 jours.

De plus, Google Vault – la solution de conservation avancée – n’est pas une « sauvegarde automatique » à proprement parler. C’est un outil juridique d’archivage : il permet de conserver ou d’effacer des données selon des règles de conformité. Mais Vault ne conserve rien d’un compte définitivement supprimé. Si vous supprimez un utilisateur Workspace, tous ses emails, agendas ou documents disparaissent, même de Vault. Autrement dit, sans sauvegarde tierce, un administrateur qui supprime un compte se prive lui-même de tout recours.

En résumé, les protections natives de Google sont limitées : la corbeille auto-supprime au bout de 30 jours, il n’y a pas de « photographie régulière » longue durée de vos données, et c’est à vous de vous prémunir. Comme le note un guide spécialisé : « Google ne se charge pas de protéger les données Gmail de l’utilisateur ; cette responsabilité incombe à l’administrateur IT. »

Microsoft 365

Du côté de Microsoft 365 (Exchange, OneDrive, SharePoint…), la situation est un peu différente mais tout aussi restrictive. Par défaut, les mails supprimés dans Outlook/Exchange restent dans le dossier « Éléments récupérables » seulement 14 jours (et jusqu’à 30 jours au maximum). Passé ce délai, ils disparaissent définitivement. Côté fichiers, un document effacé dans OneDrive ou SharePoint aboutit dans la corbeille de site pendant 93 jours, puis est purgé de façon automatique. Le problème, c’est que ces durées couvrent souvent des scénarios trop courts pour l’entreprise : dépasser accidentellement ces délais (par exemple en ne vérifiant pas la corbeille à temps) et il n’y a plus rien à restaurer sans outil externe.

Mieux, même les « sauvegardes » internes de Microsoft sont essentiellement des zones tampon à courte durée. Par exemple, la version de sauvegarde automatique pour Teams (channels) n’est sauvegardée que 21 jours, et la restauration complète d’un environnement (point-in-time) n’existe pas. En clair, comme le résume CloudAlly, « Microsoft 365 ne sauvegarde pas entièrement vos données, et se reposer sur les paramètres par défaut peut conduire à une perte permanente au-delà de 30 jours ».

Enfin, rappelons le modèle partagé : Microsoft garantit la disponibilité des services, pas la sécurité des données utilisateurs. En cas de ransomware ou d’erreur humaine, OneDrive et SharePoint sont aussi vulnérables. Un conseil souvent cité est que « même OneDrive doit être sauvegardé » par un autre système. En résumé, ni Google ni Microsoft ne remplacent une vraie stratégie de sauvegarde : leurs outils natifs posent des limites (fenêtres de rétention courtes, absence de restauration historique étendue, complexité des sauvegardes par règles de rétention) qui exposent vos données en cas de sinistre.

Google vs Microsoft : quelles différences ?

Globalement, Google Workspace et Microsoft 365 ont des mécanismes semblables (corbeilles, versions limitées) et souffrent des mêmes faiblesses (responsabilité partagée, durées de conservation courtes). Mais on peut distinguer quelques points clés :

• Fenêtre de restauration : Google limite les récupérations à ~30 jours (Trash + 25 jours admin), tandis que Microsoft offre jusqu’à 93 jours dans les corbeilles OneDrive/SharePoint et 14–30 jours dans Exchange. Microsoft laisse donc un peu plus de temps par défaut dans certains cas, mais tout de même trop court pour des données importantes à conserver longtemps.
• Couverture applicative : Google protège essentiellement Gmail, Drive, Contacts, etc. D’autres services (comme Sites, certains Google Forms) n’ont pas de restauration dédiée. Microsoft couvre Exchange, OneDrive, SharePoint et Teams via sa plateforme M365, mais là encore les données sont souvent « dans le même nuage », sans export indépendant. De fait, les deux géants reposent sur une même « faille » : si une défaillance ou attaque touche l’infrastructure globale, vos données et leur copie disparaissent ensemble.
• Outils complémentaires : Google propose Vault (gestion des rétentions) et Takeout (export manuel), mais ils sont compliqués et ne remplacent pas une sauvegarde automatisée. Microsoft propose Purview (conformité) et récemment un backup embarqué basique, mais là encore avec des limites (pas de point-in-time illimité, pas de récupération granulaires avancée). Selon l’expert W. Preston, « la fonction que vous croyez vous protéger est souvent celle qui cause la perte, car elle est stockée à l’intérieur du même système que les données à protéger » (illustration : KPMG plus bas).

En pratique, les deux environnements sont vulnérables aux mêmes scénarios : une simple suppression accidentelle d’un fichier Drive ou d’un dossier SharePoint peut vous faire perdre instantanément des mois (voire années) de travail s’ils n’ont pas été sauvegardés par ailleurs. Par exemple, Google Drive supprime sa corbeille après 30 jours, tandis que Microsoft purge SharePoint après 93 jours. Au-delà de ces délais, les données sont parties pour de bon. Aucun des deux services n’offre d’option gratuite de sauvegarde longue durée pour les PME : la gestion des sauvegardes (3-2-1, points-in-time) doit venir de l’entreprise elle-même.

Incidents concrets de perte de données dans le cloud

Les exemples réels ne manquent pas. Il ne s’agit pas de pure théorie : des entreprises ont déjà vu leurs données disparaître à cause du cloud. En voici quelques-uns :

• Erreur humaine catastrophique : En mai 2024, Google Cloud a accidentellement supprimé le compte cloud d’UniSuper (un fonds de pension australien de 125 milliards$) à la suite d’une simple mauvaise manipulation d’un administrateur. L’abonnement entier a été annulé, effaçant toutes les données et leurs sauvegardes intégrées. Résultat : UniSuper a subi une coupure totale d’une semaine pour 620 000 membres. Cette débâcle montre bien que « même les systèmes cloud avancés peuvent être brisés par une erreur simple ». Heureusement, UniSuper avait pris soin de faire des sauvegardes chez un prestataire tiers, ce qui a permis de restaurer les données plus rapidement que si elles avaient reposé uniquement sur Google.
• Suppression accidentelle massive : Un cas marquant concerne KPMG (145 000 comptes M365). Un administrateur a voulu supprimer le chat d’un seul utilisateur dans Teams, mais a accidentellement créé une règle de rétention trop large. Il a déplacé tous les utilisateurs vers une mauvaise politique et effacé tout l’historique de chat de 145 000 comptes. Après coup, Microsoft a expliqué qu’il n’existait aucun moyen automatique de récupérer ces conversations – la seule option aurait été de restaurer manuellement des chat logs restreints. Pour une entreprise soumise à des obligations de conformité, c’est une perte énorme. Cet incident illustre le danger : les mécanismes internes (politiques de rétention, corbeilles) sont enregistrés dans le même système. Résultat : « faire une erreur comme KPMG et vos sauvegardes disparaissent elles aussi ».
• Petite entreprise, grosse déception : Le cas de Musey Inc (qui équipait une PME) est significatif. Les employés ont supprimé par mégarde leur compte Google Drive complet, sans avoir fait de sauvegarde tierce. En moins de 30 jours, plus un fichier n’était accessible et même le support de Google n’a pu rien faire. Musées avait donc perdu toutes ses données Drive (10 ans d’archives) parce que « Google ne remonte pas les fichiers effacés de plus de 30 jours ». Cette anecdote rappelle que la catastrophe ne frappe pas qu’aux très grands comptes.
• Rançongiciels ciblant le cloud : Les cybercriminels ont compris que le Cloud est une mine. Selon Spin.AI, dès 2021 le « ransomware 2.0 » visait spécifiquement les données cloud. Le scénario typique est le suivant : un employé télécharge involontairement un malware sur son PC synchronisé avec Google Drive ou OneDrive. Ce malware se propage et chiffre à distance les fichiers synchronisés. Résultat : tous les documents en ligne sont cryptés, et sans sauvegarde indépen­dante il n’y a plus de version saine à restaurer. Les protections natives ne préviennent généralement pas ce cas, car les services cloud synchronisent et suppriment aussi vite qu’ils sauvegardent. Si un fichier est remplacé par une version chiffrée, la « sauvegarde » interne stocke aussi ce chiffrement. C’est pourquoi plusieurs experts pointent qu’en cas de ransomware, on ne dispose souvent d’aucun point de restauration propre dans les outils par défaut.
• Phishing et comptes compromis : Même sans erreur interne, un compte piraté peut tout compromettre. Par exemple, un employé qui clique sur un lien de phishing perd son identifiant et mot de passe : le pirate peut alors supprimer à distance des données dans Google Workspace ou M365. En quelques minutes, il efface mails, dossiers Drive/OneDrive, etc. Là encore, sans sauvegarde hors-site la perte est définitive. C’est un scénario banal de menace interne : un compte autorisé, mal protégé, peut détruire une entreprise entière en effaçant tout de la corbeille… plus rien à récupérer passés les délais autorisés.

Ces exemples montrent qu’une simple erreur ou attaque peut provoquer une catastrophe. Un administrateur maladroit, un faux pas technique, ou une cyberattaque sophistiquée peuvent tous entraîner la perte irrémédiable de données critiques si vous n’avez pas pris vos précautions. Par exemple, dans l’incident d’UniSuper l’absence de sauvegarde externe a presque coûté des mois de travail et beaucoup de confiance. De même, KPMG a réalisé que même un outil conçu pour protéger (les politiques de rétention) peut tout faire sauter. Dans tous ces cas, une sauvegarde indépendante, externe au cloud principal, a fait la différence ou aurait fait la différence. Comme le résume un expert : « sans solution dédiée de sauvegarde dans le Cloud, l’organisation reste vulnérable ».

Conseils pratiques pour les PME

Les bonnes nouvelles, c’est que protéger vos données cloud est à la fois possible et souvent simple. Il existe aujourd’hui des solutions de sauvegarde externalisées spécialement conçues pour Google Workspace et Microsoft 365, même pour les petites entreprises. Ces services SaaS automatisent la collecte de vos mails, calendriers, fichiers Drive/OneDrive, SharePoint, Teams, etc., et les copient dans un stockage séparé (cloud-to-cloud). On parle parfois de sauvegarde « 3-2-1 » appliquée au SaaS : conservez au moins 3 copies de vos données sur 2 supports distincts, avec 1 copie hors site. En pratique, vous pouvez garder vos données sur le cloud d’origine, ajouter un stockage externe (sauvegardes dans un autre cloud) et conserver une copie locale ou hors site. Ces solutions proposent des restaurations granulaires : on peut récupérer un email précis ou une version antérieure d’un fichier en quelques clics, même en dehors des délais restreints des corbeilles natives. De nombreux prestataires (certaines offres PME démarrent à quelques euros par utilisateur) offrent ce service avec chiffrement et accès par rôle. Bref, la sauvegarde cloud est devenue simple et abordable.

En complément, voici quelques bonnes pratiques faciles à mettre en place :

• Double authentification (MFA) : Activez la double authentification pour tous les comptes utilisateur (Gmail, Office 365). C’est une mesure de base contre le piratage. Sans MFA, un mot de passe volé suffit à tout déclencher. Selon les spécialistes, activer le MFA bloque plus de 90 % des accès non autorisés. C’est gratuit et rapide à configurer sur Google et Microsoft.
• Gestion rigoureuse des accès : Veillez à donner à chacun seulement les droits nécessaires. Évitez de partager des dossiers « à tous » sans raison, et révisez régulièrement qui peut voir ou modifier les fichiers sensibles. Un simple lien public oublié peut aboutir à une fuite de données. Limitez aussi le nombre d’administrateurs de vos consoles : moins il y a de comptes à haut privilège, moins le risque d’erreur sera élevé.
• Surveillance et alertes : Utilisez les outils intégrés (centres de sécurité, journaux d’audit) pour surveiller les connexions suspectes. Par exemple, configurez des alertes lorsqu’un compte se connecte depuis un nouvel appareil ou depuis un autre pays. Google Workspace et Microsoft 365 offrent des tableaux de bord de sécurité – ne les ignorez pas. Une alerte en temps réel peut vous permettre d’intervenir avant qu’un problème ne s’aggrave.
• Sensibilisation des utilisateurs : La faille la plus fréquente reste humaine. Formez vos collaborateurs à repérer les emails frauduleux, les pièces jointes suspectes et les tentatives de phishing. Expliquez-leur l’importance de ne jamais envoyer leurs mots de passe ou d’accorder des droits trop larges par erreur. Un employé informé est la première ligne de défense. Par exemple, One Sky note que « le problème ne vient pas toujours de [Microsoft ou Google]… mais de nous » – un mot de passe faible ou un clic précipité peuvent tout faire tomber.
• Responsabiliser un référent : Désignez une personne (IT ou prestataire externe) chargée de la sauvegarde et de la sécurité des données. Elle veillera à tester les restaurations régulièrement (on recommande de simuler un crash et vérifier qu’on peut rétablir les données), à mettre à jour les solutions de sécurité, et à actualiser les politiques de sauvegarde au fur et à mesure de l’évolution de l’entreprise. Cela évite que les bonnes pratiques « se perdent dans la nature » ou que personne ne remarque qu’une sauvegarde a échoué.

En résumé, il ne s’agit pas de devenir paranoïaque : les plateformes cloud sont bien sécurisées sur le plan technique, mais la défense ultime vient de vous. Heureusement, comme le rappelle la documentation gouvernementale française, « les offres cloud démocratisent… la fonction essentielle qu’est la sauvegarde des données ». Il existe des solutions prêtes à l’emploi, sans matériel à gérer, qui peuvent (pour quelques dizaines d’euros par mois) créer des sauvegardes automatiques de vos comptes Google/Microsoft. Ces outils s’occupent de tout en arrière-plan : vous n’avez plus qu’à vérifier de temps en temps que tout s’exécute bien.

Conclusion

Le Cloud apporte de la flexibilité et un confort indéniable pour les PME. Mais n’oublions pas : cloud n’est pas synonyme de sauvegarde automatique. Les incidents réels (suppression accidentelle, ransomware ou erreur d’admin) le confirment à chaque fois. La bonne nouvelle, c’est qu’avec un peu de prévention et des solutions simples, on peut largement réduire ces risques. En résumé, sauvegardez vos données cloud comme vous le feriez avec un PC local : automatisez des copies hors du système principal, testez leur bon fonctionnement, et formez votre équipe. De cette façon, vous rendez votre PME plus résiliente : même si le pire arrive, vos informations restent à l’abri et l’activité peut reprendre rapidement. Ne laissez pas un « clic de souris » effacer des mois de travail – investissez quelques minutes dès aujourd’hui pour vous protéger efficacement.