Vous avez reçu un e‑mail inquiétant affirmant que « de nombreux fichiers ont été récemment supprimés de votre OneDrive », alors que votre corbeille n’affiche presque rien ? Suivez ce guide complet pour diagnostiquer l’alerte, identifier la véritable cause et restaurer vos données sans stress.
Vue d’ensemble du problème
Depuis plusieurs mois, des particuliers comme des administrateurs Microsoft 365 constatent un phénomène identique :
- Un courriel automatique de OneDrive signale la suppression de plusieurs milliers de fichiers.
- La corbeille du locataire (tenant) reste quasiment vide ; le second niveau de corbeille aussi.
- Le client OneDrive pour Windows ou macOS semble, au prochain démarrage, tenter d’effacer localement un grand nombre d’éléments avant de s’arrêter.
Dans 90 % des cas étudiés, aucune perte effective de données ne survient : il s’agit plutôt d’opérations locales (remplacement, renommage, déplacement hors‑ligne) que le service interprète comme des suppressions massives lorsqu’il re‑synchronise. Dans les 10 % restants, une action humaine, un script de nettoyage, un logiciel tiers ou un ransomware était impliqué.
Tableau récapitulatif des vérifications essentielles
| Étape | Objectif | Détails pratiques |
|---|---|---|
| 1. Vérifier les corbeilles OneDrive | Confirmer la réalité de la suppression | Consultez la corbeille principale puis, en bas de page, la corbeille secondaire (second stage). Les comptes E3/E5 peuvent retenir les éléments jusqu’à 93 jours. |
| 2. Consulter l’historique des connexions | Écarter un piratage de compte | Visitez account.microsoft.com > Sécurité > Afficher mon activité de connexion. En cas d’adresse IP inconnue, activez immédiatement MFA et changez le mot de passe. |
| 3. Inspecter le client OneDrive | Identifier des opérations locales | Cliquez sur l’icône nuage (barre d’état Windows/macOS) > onglet Activité. Les fichiers listés indiquent qui a déclenché la suppression : vous, un service, ou un processus système. |
| 4. Restaurer OneDrive | Récupérer rapidement un grand nombre de fichiers | OneDrive en ligne > roue dentée > Restaurer votre OneDrive. Choisissez une date avant l’incident et validez ; toutes les modifications ultérieures sont annulées. |
| 5. Examiner les dossiers sauvegardés | Comprendre les alertes répétées | La fonctionnalité « Sauvegarde de dossier PC » synchronise Bureau, Documents et Images. Les jeux vidéo ou IDE régénèrent des milliers de petits fichiers ; OneDrive détecte alors des suppressions massives alors qu’il s’agit juste de remplacements. |
| 6. Mettre en pause ou délier OneDrive | Stopper un effacement en cours | Clic droit sur l’icône > Mettre en pause la synchronisation ou Quitter OneDrive. Vous gagnez du temps pour l’analyse avant toute réplication serveur. |
| 7. Analyser le système local | Exclure un malware ou script | Lancez un scan complet avec Windows Defender ou un antivirus de confiance. Vérifiez Planificateur de tâches et services tiers qui touchent au dossier synchronisé. |
| 8. Contacter le support Microsoft | Escalade si perte avérée | Ouvrez un ticket et joignez le rapport de diagnostic : %localappdata%\Microsoft\OneDrive\logs\SyncDiagnostics.log. Mentionnez date, heure et nombre de fichiers signalés. |
Pourquoi OneDrive déclenche‑t‑il de « fausses » alertes ?
Le moteur de synchronisation compare les métadonnées locales à celles stockées dans le cloud ; lorsqu’il détecte plus de 200 suppressions au cours d’une même séquence, il active par défaut l’alerte « bulk delete ». Trois scénarios sont les plus fréquents :
- Renommage massif de dossiers : déplacement d’un répertoire contenant des milliers de photos (ex. : 2024_Voyage_Japon → 2024‑Japon). Le renommage côté NTFS est vu comme déplacement + suppression.
- Recréation hors‑ligne : nettoyage automatique du dossier Téléchargements quand OneDrive ne tourne pas, puis recréation locale avant la prochaine synchronisation.
- Logiciels régénérant leurs fichiers : moteurs de jeu, compilateurs, gestionnaires de mods, ou même Outlook qui reconstruit un cache OST/OST dans Documents.
Étude de cas rapide : le jeu « Farming Simulator »
Plusieurs joueurs ont signalé des alertes au premier lancement après activation de la sauvegarde de dossier PC. Le jeu migre 20 000 fichiers de sauvegarde depuis Mes Documents\My Games\FarmingSimulator vers un nouveau sous‑dossier. OneDrive interprète cette opération comme 20 000 suppressions ; le courriel d’alerte est déclenché, alors qu’aucun octet n’a réellement disparu.
Solution : exclure le dossier concerné via Paramètres OneDrive > Choisir les dossiers ou désactiver la sauvegarde de dossier pour Documents.
Procédure détaillée de restauration
1. Restaurer depuis l’historique de versions (remplacements)
Si un fichier a été modifié plutôt que supprimé, son historique reste disponible :
- Ouvrez OneDrive en ligne.
- Cliquez droit sur le fichier.
- Sélectionnez Historique des versions et restaurez la version antérieure.
2. Restaurer depuis la corbeille standard (supprimés récents)
La corbeille conserve jusqu’à 30 jours de suppression. Pour les abonnements entreprise, l’administrateur peut définir un délai plus long ; la limite absolue est de 93 jours.
3. Restaurer votre OneDrive (bulk restore)
Utilisez cette option lorsque les fichiers supprimés sont trop nombreux pour être restaurés manuellement :
- Connectez‑vous sur OneDrive via votre navigateur.
- Cliquez sur la roue dentée > Restaurer votre OneDrive.
- Dans le graphique chronologique, faites glisser le curseur jusqu’à la veille de l’incident ou choisissez un point précis (vous pouvez lever la granularité au minute‑par‑minute).
- Vérifiez l’aperçu, puis cliquez sur Restaurer. L’opération peut prendre plusieurs heures si vous dépassez 100 Go.
Astuce : une fois la restauration terminée, laissez le client OneDrive achever la synchronisation avant d’ouvrir vos documents récents pour éviter les conflits de versions (suffixe « Nom‑du‑PC‑Conflit »).
Bonnes pratiques pour éviter de futures fausses alertes
- Segmenter le stockage : placez vos projets de développement, dépôts Git, bibliothèques NPM ou packages NuGet dans un dossier exclu de la synchronisation. Ces contenus explosent facilement les quotas et génèrent des opérations massives.
- Limiter la sauvegarde de dossier PC : activez‑la uniquement pour Bureau et Images si vous utilisez de nombreux jeux stockant leurs sauvegardes dans Documents.
- Analyser les scripts de nettoyage : si vous exécutez des outils comme
Storage Senseou CCleaner hors connexion, programmez‑les plutôt lorsqu’OneDrive est en ligne ; ainsi l’algorithme peut distinguer déplacement et suppression. - Activer la validation à deux facteurs : même si le piratage est peu probable, MFA évite que quelqu’un supprime vos données à distance via l’interface Web ou l’API Graph.
- Exporter régulièrement vos journaux OneDrive : sur le client Windows, la commande
OneDrive.exe /allusers /importsyncdir <chemin>génère des logs exploitables par le support Microsoft.
Questions fréquentes
Combien de temps faut‑il à OneDrive pour envoyer l’e‑mail d’alerte ?
En moyenne 5 à 15 minutes après détection de plus de 200 suppressions. La latence dépend de la charge de votre locataire et de la taille globale des fichiers concernés.
Puis‑je désactiver l’alerte sans désactiver toutes les notifications ?
Oui : Paramètres OneDrive > Notifications > Beaucoup de fichiers ont été supprimés. Décochez, mais assurez‑vous d’avoir compris la source des suppressions pour ne pas masquer un vrai incident plus tard.
Le support Microsoft peut‑il restaurer au‑delà de 93 jours ?
Non, la limite est technique ; passé 93 jours, les fragments sont définitivement purgés. Seule une sauvegarde hors ligne (Snapshot Azure Backup, solution tierce, archive locale) peut alors sauver vos données.
PowerShell : exporter une liste des suppressions avec l’API Graph
Pour les administrateurs, voici un script simplifié permettant de récupérer les 100 dernières actions Delete dans le journal d’audit :
# Prérequis : module Microsoft.Graph
Connect-MgGraph -Scopes "AuditLog.Read.All"
$tenantId = (Get-MgOrganization).Id
$deleted = Get-MgAuditLogDirectoryAudit `
-Filter "activityDisplayName eq 'Delete'" `
-Top 100
$deleted | Select-Object activityDateTime, initiatedBy, targetResourcesLe fichier CSV résultant permet de croiser la date et l’utilisateur ayant déclenché la suppression.
Troubleshooting avancé côté client Windows
Si l’alerte se reproduit à chaque redémarrage :
- Réinitialiser la base de données locale : exécutez
OneDrive.exe /reset. Le client recrée ensuite la base sans toucher au Cloud. - Vérifier la longueur des chemins : OneDrive limite chaque chemin à 400 caractères ; des fichiers dépassant ce seuil apparaîtront comme « non synchronisés » et pourront déclencher des boucles de suppression.
- Contrôler les attributs NTFS : l’attribut Offline Files ou certains flags hérités d’un partage SMB peuvent tromper le client.
- Mettre à jour OneDrive : ouvrez Paramètres > À propos et assurez‑vous d’avoir la dernière version (actuellement 23.222.1114.0001 ou plus).
Checklist administrateur Microsoft 365
Pour un environnement d’entreprise :
- Configurer la stratégie « Block Mass Deletes » via le Center for Internet Security Benchmark.
- Activer Microsoft 365 Purview Audit (Premium) pour 12 mois d’historique.
- Mettre en place Azure Backup sur les bibliothèques critiques SharePoint/OneDrive.
- Former les utilisateurs : 15 minutes de sensibilisation suffisent pour éviter 80 % des incidents, en particulier dans les départements créatifs qui déplacent souvent de gros dossiers.
Résumé des points clés
Recevoir une alerte de suppression massive dans OneDrive ne signifie pas forcément que vos fichiers ont disparu. La première action est toujours la vérification des corbeilles, suivie de l’inspection du journal d’activité. Utilisez ensuite Restaurer votre OneDrive pour un retour en arrière global ou le versionning pour des cas isolés. Enfin, identifiez et corrigez la source : jeu vidéo, script de nettoyage, renommage massif ou, plus rarement, activité malveillante. Avec ces bonnes pratiques, vous éliminerez les fausses alertes et protégerez vos données pour l’avenir.