L’Object Lock est l’une des fonctionnalités les plus puissantes de MinIO en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer) pour la protection contre le ransomware et l’erreur humaine. Une fois activé, les objets stockés ne peuvent pas être supprimés ni modifiés pendant la durée de rétention configurée — même par un administrateur compromis. Voici comment l’utiliser correctement.
Voir notre guide MinIO complet.
Pourquoi Object Lock
Scénario classique : un attaquant compromet votre VPS et obtient les credentials root. Il accède à vos backups S3 et les chiffre/supprime. Vous découvrez le ransomware le lundi matin. Sans Object Lock, vous payez la rançon ou vous perdez tout. Avec Object Lock, les backups sont préservés pendant la durée de rétention. Vous restaurez sans payer.
Modes Object Lock
- GOVERNANCE : protection standard. Un user avec permission spécifique peut bypass la rétention. Utile pour erreurs accidentelles.
- COMPLIANCE : protection stricte. Personne (même root) ne peut supprimer avant expiration. Conforme SEC 17a-4. Utile pour anti-ransomware.
Étape 1 — Activer Object Lock à la création du bucket
Important : Object Lock se configure UNIQUEMENT à la création du bucket, pas après.
# Via mc CLI
mc mb prod/backups-immutable --with-lock
# Ou via console web :
# Buckets → Create Bucket → cocher "Object Locking"Étape 2 — Définir la rétention par défaut
# 30 jours en mode COMPLIANCE (anti-ransomware strict)
mc retention set --default COMPLIANCE 30d prod/backups-immutable
# Ou GOVERNANCE 7j (plus souple, admin peut bypass)
mc retention set --default GOVERNANCE 7d prod/test-bucketTout objet uploadé hérite désormais de cette rétention.
Étape 3 — Versioning obligatoire
# Activer le versioning (requis pour Object Lock)
mc version enable prod/backups-immutableObject Lock requiert le versioning. Une « delete » devient en réalité un marqueur de suppression — l’objet original reste protégé.
Étape 4 — Tester la protection
# Upload un fichier
mc cp test.txt prod/backups-immutable/
# Tenter de supprimer
mc rm prod/backups-immutable/test.txt
# > Error : object protected by retention
# Vérifier la rétention sur l'objet
mc stat prod/backups-immutable/test.txt
# > Retention : COMPLIANCE until ...Étape 5 — Lifecycle pour expiration auto
Pour ne pas garder éternellement les anciennes versions :
# Expirer les versions non-courantes après 60 jours (post-rétention)
mc ilm rule add --noncurrent-expire-days 60 prod/backups-immutableÉtape 6 — Credentials séparées pour upload-only
Critique : créez un service account avec uniquement s3:PutObject et s3:ListBucket sur le bucket protégé. Pas de delete, pas de bypass. C’est avec ces credentials que vos backups Coolify écrivent. Si elles fuitent, le pire qui peut arriver c’est uploads malveillants — pas suppression.
# Policy JSON IAM-style
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["s3:PutObject", "s3:ListBucket"],
"Resource": [
"arn:aws:s3:::backups-immutable",
"arn:aws:s3:::backups-immutable/*"
]
}]
}Console MinIO → Identity → Service Accounts → Create → coller cette policy.
Étape 7 — Quotas et alertes
Object Lock + versioning peut faire grossir le stockage rapidement. Surveillez :
mc admin info prod
mc du prod/backups-immutable
mc admin bucket quota set prod/backups-immutable --hard 500GiBAdaptation Afrique de l’Ouest
Pour les PME ouest-africaines, COMPLIANCE Object Lock 30 jours sur les backups Coolify est une assurance vie cyber. Coût marginal négligeable, protection totale contre ransomware. Ne pas oublier de tester la restauration mensuellement.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| « Object Lock can’t be enabled » | Versioning manquant | mc version enable d’abord |
| « Cannot enable Object Lock on existing » | Bucket déjà créé sans Lock | Créer nouveau bucket avec –with-lock, migrer |
| Disque sature rapidement | Rétention longue + uploads quotidiens | Lifecycle expire-noncurrent-versions |
Pour creuser ce sujet
Vous cherchez un hébergement web sérieux et abordable ?
Hostinger offre des serveurs avec installation WordPress en un clic et un panel simple. Notre équipe l’utilise au quotidien.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Comprendre WORM et le standard S3
Object Lock implémente le modèle WORM (Write Once Read Many) inspiré de la norme SEC 17a-4 et compatible avec l’API S3. Concrètement, dès qu’un objet est écrit, son contenu et ses métadonnées d’intégrité sont scellés pendant une durée déterminée. Aucun utilisateur — pas même l’administrateur racine — ne peut alors le supprimer ou l’écraser tant que la rétention n’est pas expirée. C’est ce verrou qui transforme un simple stockage objet en coffre-fort anti-ransomware.
Vous obtenez ce résultat en combinant trois propriétés activées au niveau du bucket : versioning permanent, mode de rétention (Compliance ou Governance) et durée par défaut. La commande de vérification suivante confirme que tout est en place :
mc admin info local
mc version info local/backups-prod
mc retention info local/backups-prodSi la sortie indique « Versioning : Enabled » et « Object Lock : Enabled », votre bucket refusera désormais toute tentative de suppression définitive avant la date d’expiration. C’est exactement le comportement attendu pour résister à un ransomware qui chiffre les données puis tente d’effacer les sauvegardes.
Choisir entre Compliance et Governance
Le mode Compliance est immuable : ni l’utilisateur, ni l’admin root MinIO ne peut raccourcir la rétention. Vous l’utilisez pour les sauvegardes critiques (comptabilité, paie, données clients) où la durée légale de conservation est fixe — typiquement 10 ans pour les pièces comptables au Sénégal selon l’article 24 du Code général des impôts. Le mode Governance reste flexible : un compte avec la permission s3:BypassGovernanceRetention peut lever le verrou avant terme. Réservez-le aux backups opérationnels (logs, snapshots de tests) où vous voulez pouvoir nettoyer rapidement en cas d’erreur.
En pratique, créez deux buckets distincts dès le départ : un bucket « wal-archive » en Governance pour vos écritures fréquentes et un bucket « audit-trail » en Compliance pour les exports mensuels destinés au commissaire aux comptes. Cette séparation évite de sur-protéger des données qui n’en valent pas la peine et de sous-protéger ce qui compte vraiment.
Étape complémentaire — Politique IAM dédiée backup
Le compte qui exécute vos jobs Restic ou Velero ne doit jamais avoir le droit de supprimer ni de modifier les rétentions. Créez une policy minimale qui autorise uniquement PutObject et GetObject, et refuse explicitement DeleteObjectVersion et BypassGovernanceRetention. Voici le JSON à appliquer :
cat > backup-only.json <<'EOF'
{
"Version": "2012-10-17",
"Statement": [
{"Effect":"Allow","Action":["s3:PutObject","s3:GetObject","s3:ListBucket"],"Resource":["arn:aws:s3:::backups-prod","arn:aws:s3:::backups-prod/*"]},
{"Effect":"Deny","Action":["s3:DeleteObjectVersion","s3:BypassGovernanceRetention","s3:PutBucketVersioning"],"Resource":"*"}
]
}
EOF
mc admin policy create local backup-only backup-only.json
mc admin user add local backup-agent $(openssl rand -hex 16)
mc admin policy attach local backup-only --user backup-agentÀ la fin, l’agent reçoit une access key qui ne peut faire qu’une chose : déposer des objets. Si un attaquant compromet votre serveur applicatif et récupère ces credentials, le pire qu’il puisse faire est de remplir votre bucket — il ne pourra jamais l’effacer. C’est précisément ce qui fait échouer 95 % des ransomwares modernes qui ciblent les sauvegardes.
Étape complémentaire — Réplication site-à-site Dakar/Abidjan
Object Lock ne protège pas contre la perte physique du datacenter. Pour un opérateur basé à Dakar, la pratique recommandée est de répliquer vers une instance MinIO secondaire hébergée à Abidjan, Lomé ou Casablanca. Activez la réplication sur le bucket source avec rétention conservée :
mc replicate add local/backups-prod --remote-bucket arn:minio:replication::backups-prod-dr --replicate "delete-marker,existing-objects,metadata-sync"
mc replicate status local/backups-prodLa sortie doit afficher « Replication enabled » avec un statut « Healthy ». Vérifiez chaque semaine que l’écart de réplication reste inférieur à 5 minutes — au-delà, vous risquez une RPO (Recovery Point Objective) inacceptable pour une PME e-commerce qui encaisse des paiements Wave ou Mixx by Yas en continu.
Étape complémentaire — Tests de restauration trimestriels
Une sauvegarde non testée est une sauvegarde inexistante. Planifiez un drill trimestriel qui restaure intégralement un bucket vers un environnement de staging et compare les checksums. Le script suivant automatise la vérification :
mc cp --recursive local/backups-prod/2026-04/ staging/restore-test/
mc diff local/backups-prod/2026-04/ staging/restore-test/ | tee restore-report.txt
[ -s restore-report.txt ] && echo "ECHEC RESTORE" || echo "RESTORE OK"Si le rapport est vide, la restauration est byte-perfect. Documentez chaque drill avec date, durée totale et taille restaurée. Ces traces serviront de preuve de conformité lors d’un audit ANSD ou d’une réclamation client.
Coûts réels et dimensionnement Afrique de l’Ouest
Object Lock multiplie l’espace occupé par 2 à 5 selon votre politique de versioning et la durée de rétention. Pour un site WooCommerce qui génère 3 Go de données journalières, comptez environ 1,1 To après un an avec rétention 90 jours et 4 versions. Sur un VPS Hetzner CPX31 (8 Go RAM, 160 Go SSD) à 16,90 EUR/mois soit environ 11 089 FCFA, vous serez vite à l’étroit. Prévoyez plutôt un Hetzner StorageBox 5 To à 12,50 EUR/mois (environ 8 200 FCFA) en complément, ou un Wasabi cloud storage à 6,99 USD/To/mois.
Pour un cabinet comptable à Dakar qui doit conserver 10 ans de pièces, le calcul devient : 10 Go/an × 10 ans × 3 versions = 300 Go en mode Compliance. Un seul VPS dédié sauvegarde suffit, mais facturez ce service à 35 000 FCFA/mois minimum dans votre offre client pour rester rentable une fois la maintenance et les drills inclus.
Checklist de mise en production
Avant d’ouvrir votre bucket aux applications de production, validez chaque ligne : versioning activé et confirmé via mc version info, mode de rétention choisi explicitement (Compliance pour audit, Governance pour ops), durée par défaut conforme à l’obligation légale, policy backup-only attachée à l’agent applicatif, root credentials stockées dans un coffre hors-ligne (pas dans .env), réplication vers site secondaire active, premier drill de restauration documenté et signé, alertes Prometheus configurées sur l’évolution du quota, monitoring Uptime Kuma sur l’endpoint S3, et plan de rotation des access keys tous les 90 jours.
Cette checklist ressemble à une formalité, mais elle constitue le seul rempart vérifiable face à un ransomware qui réussirait à s’exécuter avec les droits root sur votre serveur applicatif. Avec Object Lock correctement configuré, vous gardez l’arme du dernier mot : restaurer une version saine et reprendre l’activité en moins de 4 heures.
Intégration avec Restic, BorgBackup et Velero
Restic dépose nativement ses snapshots sur n’importe quel endpoint S3-compatible. Configurez le repository avec les credentials de l’agent backup-only et lancez l’init une seule fois :
export AWS_ACCESS_KEY_ID=backup-agent
export AWS_SECRET_ACCESS_KEY=xxxxxxxxxxxxxxxx
export RESTIC_REPOSITORY=s3:https://minio.exemple.sn/backups-prod/restic
restic init
restic backup /var/www /etc /home --tag prod
restic snapshotsLa sortie liste vos snapshots datés. Comme l’agent n’a pas le droit de supprimer, les commandes restic forget et restic prune échoueront — c’est voulu. Le nettoyage des anciennes versions doit se faire via le lifecycle MinIO décrit plus haut, jamais depuis le client. Cette discipline élimine la classe d’attaques où un ransomware utilise vos propres outils pour effacer l’historique.
Pour Velero qui sauvegarde un cluster Kubernetes, la même logique s’applique avec le BackupStorageLocation pointant vers le bucket immutable. Pour BorgBackup, préférez son propre mode append-only natif et utilisez MinIO uniquement comme couche de stockage froid via rclone sync hebdomadaire.
Détection précoce d’un incident ransomware
Object Lock empêche la destruction, mais ne vous prévient pas qu’une attaque est en cours. Combinez la couche stockage avec une détection anomalie côté production. Trois signaux doivent déclencher une alerte immédiate : volume de PUT objects multiplié par 10 sur une heure, taux d’erreurs S3 supérieur à 5 % (signe d’un script qui tente DeleteObject en boucle), et apparition de fichiers avec extensions suspectes (.locked, .crypted, .enc) dans les listings.
mc admin trace --verbose local | grep -E "DeleteObject|PutObject" | awk '{print $1}' | sort | uniq -c | sort -rn | headCette commande compte les opérations en temps réel par type. Une explosion soudaine de PutObject couplée à des DeleteObject refusés (HTTP 403) trahit un agent compromis qui essaie de remplacer vos backups. Branchez ce flux sur Loki ou Grafana et configurez une alerte Slack/WhatsApp Business pour réagir en moins de 15 minutes.
Récupération après incident en 4 heures
Si l’attaque a chiffré votre serveur applicatif, voici la séquence de récupération éprouvée. D’abord, isolez le serveur compromis et provisionnez un nouveau VPS Hetzner ou Scaleway avec OS frais. Ensuite, installez le client MinIO et restaurez la dernière version saine antérieure à la date de compromission présumée :
mc alias set local https://minio.exemple.sn root xxxxx
mc ls --versions local/backups-prod/restic | grep "2026-04-28"
restic --repo s3:https://minio.exemple.sn/backups-prod/restic restore latest --target /restored
rsync -av /restored/var/www/ /var/www/Comptez 30 minutes pour le provisioning, 90 minutes pour le téléchargement (sur fibre Sonatel 100 Mbps), 60 minutes pour la restauration sélective et 30 minutes pour la bascule DNS. Le temps total reste sous 4 heures pour un site WooCommerce moyen, ce qui correspond aux engagements SLA acceptables pour un commerce de détail à Dakar ou Abidjan.
Documentez ensuite l’incident dans un post-mortem signé : vecteur d’entrée, durée d’exposition, quantité de données restaurées, écart entre RPO théorique et réel. Ce document constitue une preuve de diligence si un client vous attaque pour perte de données et il alimente votre amélioration continue.