Tutoriel pour configurer Restic avec Backblaze B2 comme backend en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer), le combo le plus économique pour PME.
Voir notre guide Restic complet.
Étape 1 — Créer compte Backblaze B2
- Aller sur backblaze.com/sign-up/cloud-storage
- Email + mot de passe + 2FA
- Buckets → Create Bucket → « server-backups-prod »
- Object Lock : recommandé pour anti-ransomware (mode Compliance 30 jours)
- App Keys → Add a New Application Key → restreindre au bucket de backup
- Copier keyID et applicationKey
Étape 2 — Variables d’env
# /root/.restic.env (chmod 600)
export B2_ACCOUNT_ID=keyID
export B2_ACCOUNT_KEY=applicationKey
export RESTIC_REPOSITORY=b2:server-backups-prod:/srv-prod-01
export RESTIC_PASSWORD=...32+chars random...Étape 3 — Initialiser et tester
source /root/.restic.env
# Init repo (UNE FOIS)
restic init
# Premier backup test
restic backup /etc
# Vérifier
restic snapshotsÉtape 4 — Tarifs B2 typiques
- Stockage : 6 USD par To/mois
- Download (egress) : 0,01 USD/Go (gratuit jusqu’à 3x votre stockage / mois si vous utilisez Cloudflare R2 / Bunny CDN comme partner)
- Class B / C transactions : très peu (négligeable pour backups)
Pour 100 Go de backup typique avec dédup : ~0,60 USD/mois. Pour 1 To : ~6 USD/mois. Imbattable.
Étape 5 — Object Lock (anti-ransomware)
Activer Object Lock côté B2 (configurable au bucket) en mode Compliance 30 jours. Restic fonctionne avec ; les snapshots créés ne peuvent être supprimés pendant la rétention même par un attaquant ayant les credentials.
Étape 6 — Service account write-only
Créer une App Key séparée avec capabilities limitées : writeFiles, listFiles, readFiles uniquement. Pas de deleteFiles. Avec Object Lock + permissions write-only, votre setup est anti-ransomware par construction.
Note : restic forget --prune demande capability deleteFiles. Solution : faire le forget+prune avec une App Key admin séparée, depuis un workstation, mensuellement (et pas en cron quotidien).