Le choix d'un modèle de stockage pour une PME ne peut plus se faire uniquement sur des critères de budget ou de confort. NAS, serveur local ou cloud : chaque solution expose les données à des risques spécifiques si elle n'est pas correctement paramétrée et maintenue. En 2024, selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), les ransomwares ont touché 37 % des PME, TPE et ETI, souvent par l'intermédiaire d'un outil de stockage mal protégé.
Le NAS, une solution économique mais souvent négligée
Le Network Attached Storage (NAS) est un boîtier équipé de disques durs, connecté au réseau local. Chaque collaborateur peut y déposer et récupérer des fichiers comme dans un coffre commun. Le fabricant taïwanais Synology domine le marché depuis la fin des années 2000, devant QNAP, Asustor ou TerraMaster. Un boîtier sans disque coûte entre 200 et 600 euros, et le paiement unique permet de conserver les données physiquement dans l'entreprise. Au-delà de 2 à 4 téraoctets utilisés quotidiennement, la dépense initiale reste inférieure à un abonnement cloud cumulé.
Mais cette solution souffre d'un défaut majeur : elle est souvent mal suivie. En 2025, lors du concours Pwn2Own Ireland à Cork, des chercheurs ont pris le contrôle complet de sept NAS QNAP en exploitant des failles inconnues. QNAP a publié des correctifs le mois suivant. Synology a également été exposé la même année avec la faille CVE-2025-5293, permettant à un attaquant de prendre la main à distance. Ces incidents illustrent le risque d'un NAS qui n'est pas régulièrement mis à jour ou administré par un personnel compétent.
Le serveur local, plus solide entre des mains compétentes
Le serveur local, plus lourd à déployer, offre en théorie une meilleure maîtrise de la sécurité. Il nécessite une administration permanente, des sauvegardes régulières et une segmentation réseau rigoureuse. Certaines PME y recourent pour héberger des bases de données sensibles ou des applications métier. Mais ce niveau de protection dépend entièrement des compétences de l'équipe informatique interne ou externalisée. Un serveur mal configuré ou laissé sans correctif devient une cible de choix pour les attaquants.
Le cloud, pratique mais pas sans risque
Le stockage dans le cloud, souvent vendu comme « sécurisé », repose sur un contrat de service avec un hébergeur. L'avantage est l'absence de maintenance matérielle et l'accès nomade aux fichiers. En contrepartie, les données quittent le périmètre physique de l'entreprise. La responsabilité de la sécurité est partagée : l'hébergeur garantit l'infrastructure, mais le client doit gérer les accès, le chiffrement et la politique de mots de passe. En cas de rançongiciel visant une plateforme cloud, la réversibilité des données peut être compromise si aucune sauvegarde locale n'existe.
À chaque usage son modèle de stockage
Aucune solution unique ne répond à tous les besoins. Une PME manipulant des fichiers volumineux et rarement mis à jour peut préférer un NAS, à condition de le maintenir à jour. Celle qui a des données très sensibles et une équipe technique solide optera pour un serveur local. Enfin, le cloud convient pour un accès partagé et mobile, avec une vigilance accrue sur le choix de l'hébergeur et la politique de sécurité contractuelle.
En pratique, de nombreuses entreprises adoptent un modèle hybride : un NAS pour le stockage principal, associé à une sauvegarde cloud automatique. Cette combinaison permet de bénéficier de la rapidité d'accès locale et de la résilience géographique du cloud, à condition que les deux systèmes soient correctement paramétrés et que les mots de passe soient robustes.
Le point commun des trois solutions est l'importance de la formation des utilisateurs et de la gouvernance des accès. Un outil de stockage, aussi performant soit-il, reste vulnérable si un employé utilise un mot de passe faible ou clique sur un lien malveillant. La cybersécurité d'une PME repose autant sur la technologie que sur les comportements.
