Comprendre et implémenter la rotation de sauvegardes GFS pas à pas

La rotation de sauvegardes GFS (Grandfather-Father-Son) est une méthode éprouvée en entreprise pour conserver plusieurs “générations” de sauvegardes avec une rétention lisible et une consommation de stockage maîtrisée. Le principe consiste à garder des points de restauration à court, moyen et long terme, typiquement via des sauvegardes quotidiennes, hebdomadaires et mensuelles, afin de pouvoir revenir à un état antérieur selon différents horizons de temps sans multiplier inutilement les copies.

GFS reste toutefois un schéma de rétention, pas une stratégie complète de résilience. Il n’apporte pas, à lui seul, la protection contre les sinistres majeurs, les erreurs d’administration ou les ransomwares. Pour que l’approche ait du sens en conditions réelles, il faut l’articuler avec des principes de sécurité et de disponibilité comme la copie hors site, l’isolation du dépôt, l’immutabilité quand elle est possible, ainsi que des mécanismes plus “continus” lorsque le besoin l’impose, par exemple des journaux de bases de données, des snapshots fréquents ou de la réplication.

Le principe GFS : une logique de générations

GFS repose sur une observation pragmatique : lors d’un incident, on a rarement besoin de disposer d’un historique exhaustif au jour le jour sur plusieurs mois, mais on a presque toujours besoin de restaurer un état récent, puis de remonter plus loin si le problème a été détecté tardivement ou s’il relève de la conformité. La rotation organise donc la rétention en niveaux distincts, avec des points de restauration denses sur le court terme puis plus espacés sur la durée.

Dans sa forme la plus courante, les sauvegardes dites “Son” correspondent aux points quotidiens conservés peu de temps, les “Father” aux points hebdomadaires conservés plus longtemps et les “Grandfather” aux points mensuels conservés le plus longtemps. L’élément critique n’est pas tant l’étiquette quotidienne, hebdomadaire ou mensuelle que la règle de sélection et de conservation. Selon les outils, une “mensuelle” peut être la dernière sauvegarde du mois, une sauvegarde effectuée à une date précise, ou simplement un point existant “tagué” comme mensuel. Une ambiguïté à ce niveau peut créer des trous de rétention, notamment aux périodes de fin de mois, de jours fériés, ou si un job échoue au mauvais moment. Il faut donc vérifier explicitement comment l’outil promeut un point “daily” en “weekly” puis en “monthly”, et ce qu’il se passe si la sauvegarde prévue ce jour-là ne se fait pas.

Pour un rappel général sur les schémas de rotation (dont GFS), vous pouvez consulter cette page : Backup rotation scheme (Wikipedia).

Exemple de planning concret (adapté PME)

Un planning simple et réaliste pour une PME consiste à exécuter des sauvegardes quotidiennes en semaine, à produire un point hebdomadaire fixe (souvent le vendredi soir) et à conserver un point mensuel (par exemple le dernier jour ouvré). Le choix “lundi à vendredi” peut convenir à une activité bureautique, mais il devient risqué dès qu’il existe des traitements le week-end, des services en continu ou des utilisateurs distants : dans ce cas, les sauvegardes quotidiennes doivent couvrir aussi le samedi et le dimanche, ou à défaut être complétées par des snapshots ou des journaux applicatifs. L’objectif est que la fréquence réelle reflète la façon dont la donnée change, pas seulement l’organisation du travail.

Une rétention typique peut conserver environ deux semaines de points quotidiens, plusieurs semaines de points hebdomadaires et au moins un an de points mensuels, à adapter selon les obligations de conformité et la saisonnalité métier. Ce réglage ne doit pas être choisi “au feeling” : il doit se caler sur les objectifs de reprise, en particulier le RPO, qui définit la quantité de données acceptable à perdre, et le RTO, qui définit le temps acceptable pour restaurer. Conserver quatorze points quotidiens ne sert pas si l’entreprise ne peut pas restaurer dans un délai compatible avec son activité, ou si le RPO impose des points intra-journée que GFS, tel quel, ne couvre pas.

Choisir le “type” de sauvegarde : complète, incrémentale, différentielle

GFS décrit avant tout une politique de conservation, pas une technique de sauvegarde. En pratique, on combine souvent une sauvegarde complète, des sauvegardes incrémentales ou différentielles, et parfois des mécanismes de “full synthétique” reconstruits côté dépôt. La sauvegarde complète est simple à restaurer mais coûteuse en temps et en stockage. L’incrémentale est économe et rapide à produire, mais la restauration peut dépendre d’une chaîne de points, ce qui augmente le temps de reprise et la sensibilité à un maillon manquant, sauf si l’outil gère la consolidation et la vérification de manière robuste. La différentielle offre un compromis, mais grossit au fil des jours jusqu’à la prochaine complète.

Un schéma fréquent en PME est la complète hebdomadaire accompagnée d’incrémentales quotidiennes, avec une mensuelle conservée plus longtemps, souvent sous forme de complète ou de full synthétique pour simplifier les restaurations tout en limitant la charge sur les serveurs. Là encore, il faut vérifier le comportement exact de l’outil : certaines solutions créent réellement un point mensuel dédié, d’autres se contentent de “promouvoir” un point existant. Cela a un impact direct sur l’espace consommé, sur la fenêtre de sauvegarde et sur la fiabilité en cas d’échec d’un job à un moment charnière.

Implémentation pas à pas avec des outils accessibles

GFS peut être mis en place sur un NAS, un serveur de fichiers, une baie, ou une cible cloud, à condition que l’outil fournisse une planification fiable, une rétention maîtrisée, des journaux exploitables et des alertes. Pour être réellement opérationnelle, l’implémentation doit aussi intégrer le chiffrement, la gestion stricte des accès et, si possible, une forme d’immutabilité ou de WORM afin de réduire le risque d’altération malveillante. La cohérence applicative doit également être considérée : une sauvegarde “fichiers” n’est pas toujours suffisante pour une base de données ou un applicatif qui exige une quiescence, des VSS snapshots, ou une procédure spécifique de dump et de journalisation.

La démarche la plus efficace consiste à inventorier précisément les données et services à protéger, à définir des RPO et RTO réalistes, puis à choisir des cibles de sauvegarde en tenant compte de la résilience globale. Une sauvegarde stockée sur le même site et accessible en écriture depuis le système de production reste vulnérable aux sinistres et aux attaques. Idéalement, la politique GFS s’applique sur un dépôt principal, puis une copie supplémentaire est répliquée hors site ou vers un stockage objet avec verrouillage, de façon à renforcer la capacité de reprise même en cas de compromission.

La documentation est souvent sous-estimée alors qu’elle fait gagner un temps décisif en incident : localisation des dépôts, comptes et droits, procédures de restauration par type de données, et règles de décision en situation d’urgence. Un schéma de rotation sans procédure de restauration claire est une promesse fragile.

Si vous avez besoin de revoir les bases d’une solution de sauvegarde (NAS, disque externe, serveur), cet article du site peut aider : Comment marche une solution de sauvegarde… sur un disque dur externe ou un serveur NAS.

Automatisation : la clé pour éviter les “trous” de sauvegarde

Une rotation GFS n’a de valeur que si elle s’exécute de manière fiable et répétable. La planification doit être pensée pour limiter l’impact sur la production, soit en dehors des heures ouvrées, soit en contrôlant les débits et les priorités. Les notifications doivent être activées et réellement traitées, avec un responsable clairement désigné, car une accumulation d’échecs finit par créer des semaines entières non protégées.

La capacité du dépôt doit être surveillée avec des marges, car une rétention mal calibrée conduit à la saturation et déclenche une cascade d’échecs, parfois au pire moment. La protection des points hebdomadaires et mensuels est également essentielle : il faut réduire la surface d’attaque avec des comptes dédiés, des droits minimaux, une segmentation réseau, et autant que possible un dépôt non exposé aux identifiants du domaine. Lorsque c’est disponible, l’immutabilité ou le WORM transforment la rotation GFS en véritable atout face aux ransomwares, en empêchant la suppression ou la modification des sauvegardes sur une période donnée.

Une revue régulière des rapports, même courte, est un excellent compromis opérationnel. Elle permet de détecter rapidement les dérives, qu’il s’agisse de jobs qui s’allongent, d’un taux d’échec anormal, d’une déduplication qui se dégrade ou d’une croissance imprévue des volumes.

Tests de restauration : l’étape que beaucoup oublient

Un rapport “succès” ne garantit pas qu’une restauration sera possible dans des conditions acceptables. La restauration doit être testée, non seulement pour valider l’intégrité des données, mais aussi pour confirmer le temps nécessaire, la cohérence applicative, et la présence des métadonnées indispensables comme les permissions, les ACL et les héritages. Une bonne pratique consiste à restaurer régulièrement un échantillon représentatif, et périodiquement à restaurer un périmètre plus large dans un environnement isolé afin de mesurer réellement le RTO et d’identifier les dépendances cachées.

Un exercice très parlant consiste à simuler un scénario courant, par exemple la suppression d’un dossier détectée douze jours plus tard. On vérifie alors si la rétention quotidienne couvre ce cas. Si ce n’est pas le cas, il faut passer par un point hebdomadaire, ce qui peut impliquer une perte de changements récents. Ce type de test transforme une rétention théorique en capacité de reprise concrète et alimente des ajustements rationnels du planning.

Vérification d’intégrité : éviter les mauvaises surprises

La corruption silencieuse, les problèmes matériels et les dépôts instables existent, y compris lorsque les sauvegardes “se terminent bien”. La vérification d’intégrité, qu’elle prenne la forme de checksums, de validation par hash, de scrubbing côté stockage ou de contrôles après transfert, sert à détecter tôt les altérations et à éviter de découvrir une sauvegarde inutilisable le jour où l’on en a besoin. Elle est particulièrement importante pour les rétentions longues, car plus la durée de conservation augmente, plus le risque d’un incident latent non détecté devient significatif.

Erreurs courantes (et comment les éviter)

La première erreur consiste à confondre rotation et stratégie. GFS organise la rétention, mais ne remplace ni une approche de type 3-2-1, ni l’isolation nécessaire contre les ransomwares. La deuxième est de négliger le hors site ou l’isolement : une copie unique sur le même site, ou sur un stockage accessible en écriture depuis la production, reste exposée au vol, à l’incendie, à la mauvaise manipulation et à la compromission. Une autre dérive fréquente est de vouloir tout garder indéfiniment, ce qui finit en saturation et en échecs ; quand des obligations de conservation existent, il est souvent plus pertinent de distinguer sauvegarde et archivage, avec des objectifs et des supports adaptés.

Enfin, l’absence de documentation et de tests transforme la sauvegarde en illusion de sécurité. Sans procédure claire, sans contrôle régulier et sans mesure des temps de restauration, l’entreprise découvre ses limites au moment le plus coûteux, c’est-à-dire en pleine crise.

Conclusion : un cadre simple, très efficace en entreprise

GFS est un cadre efficace pour structurer une rétention compréhensible et maîtriser l’espace de stockage, en couvrant le court, le moyen et le long terme avec une logique de générations. Pour qu’il tienne ses promesses, il doit être aligné sur des objectifs RPO et RTO réalistes, s’appuyer sur une automatisation surveillée, intégrer une protection robuste du dépôt via l’isolement et idéalement l’immutabilité, et être validé par des restaurations testées régulièrement. En résumé, la meilleure rotation n’est pas celle qui paraît élégante sur le papier, mais celle qui vous permet de restaurer vite, correctement et en confiance le jour où tout le reste a échoué.