Rotation de sauvegardes en entreprise : implémenter la méthode GFS pas à pas

En entreprise, une sauvegarde « qui marche » ne suffit pas : il faut savoir combien de temps conserver les copies, où elles se trouvent, comment elles sont protégées, et combien d’espace elles consomment. La rotation Grandfather-Father-Son (GFS) est une méthode simple et éprouvée pour organiser des points de restauration journaliers, hebdomadaires et mensuels, tout en maintenant un historique utile pour les audits, les incidents et les demandes métiers. Bien utilisée, elle met de l’ordre dans la rétention ; mal cadrée, elle peut au contraire donner un faux sentiment de sécurité si la restauration n’est pas régulièrement validée.

1) Comprendre la méthode GFS (Grandfather-Father-Son)

La rotation GFS classe les sauvegardes en trois niveaux complémentaires. Les sauvegardes « Son » correspondent aux points de restauration quotidiens, conservés sur une durée courte pour couvrir les erreurs récentes et les incidents du quotidien. Les sauvegardes « Father » servent de jalons hebdomadaires, conservés plus longtemps afin de remonter plus loin sans garder chaque journée. Les sauvegardes « Grandfather » sont des jalons mensuels — ou à périodicité plus longue selon les besoins — conservés sur la durée la plus étendue.

L’idée centrale est d’obtenir un équilibre entre granularité et coût : beaucoup de points récents pour restaurer vite, et quelques points « stables » pour remonter dans le temps, sans accumuler des volumes incontrôlables. Il faut toutefois rappeler que GFS décrit une politique de rétention, pas une stratégie complète de protection des données. Pour être robuste face aux erreurs humaines et aux attaques, la rotation doit s’inscrire dans une démarche plus large incluant le chiffrement, l’immutabilité ou le WORM, l’isolement logique ou physique (air gap), la séparation des comptes, et surtout des tests de restauration réguliers.

2) Définir une politique de rétention adaptée (exemple PME)

Avant de configurer un outil, formalisez une politique de rétention simple, compréhensible et défendable. Pour une PME, un exemple réaliste consiste à conserver les sauvegardes journalières sur 10 à 14 jours, les hebdomadaires sur 6 à 8 semaines, et les mensuelles sur 12 mois, voire 24 mois lorsque des contraintes métier ou contractuelles l’exigent. Ces ordres de grandeur restent des repères : la bonne rétention est celle qui répond à vos objectifs de reprise et à vos obligations.

Le choix doit prendre en compte les contraintes légales, contractuelles et de conformité, mais aussi le RPO (perte de données acceptable) et le RTO (temps de reprise acceptable). Il dépend également du volume de données et du taux de changement : une base transactionnelle ne se dimensionne pas comme un partage bureautique. Enfin, il est essentiel de distinguer sauvegarde et archivage. Lorsque certains contenus doivent être conservés plusieurs années avec des exigences d’intégrité, de traçabilité ou de valeur probante, une solution d’archivage (WORM, coffre-fort numérique, archivage légal) est souvent plus appropriée qu’une sauvegarde destinée avant tout à restaurer après incident.

Pour cadrer et justifier la démarche, un référentiel reconnu sur la continuité et la reprise est le guide NIST : NIST SP 800-34 Rev.1. Il ne dicte pas une rétention unique, mais aide à structurer l’analyse des risques et des objectifs de reprise.

3) Concevoir une arborescence et un nommage « anti-erreur »

Une source fréquente d’incidents est un historique illisible, des conventions bricolées, ou des sauvegardes impossibles à identifier rapidement en situation de crise. Une structure stable et explicite réduit les erreurs et accélère la restauration. Une arborescence typique consiste à séparer l’environnement et le niveau GFS, puis à organiser par date, par semaine ou par mois, par exemple avec des chemins du type /Sauvegardes/PROD/Son/YYYY-MM-DD/, /Sauvegardes/PROD/Father/YYYY-WW/ et /Sauvegardes/PROD/Grandfather/YYYY-MM/.

Si votre outil ne gère pas correctement les métadonnées, ajoutez dans le nom des éléments qui évitent les ambiguïtés : environnement (PROD/RECETTE), application ou serveur, périmètre, type (full/incr/diff) et identifiant de job. À l’inverse, si la solution dispose d’un catalogue fiable, de tags et de recherches efficaces, ne recréez pas une logique parallèle en multipliant des dossiers et des noms complexes. Dans ce cas, privilégiez la cohérence des noms de jobs, des politiques et des dépôts, car c’est l’outil qui doit guider la restauration, pas une convention manuelle fragile.

4) Mise en œuvre « pas à pas » sur des outils courants

La méthode GFS n’est pas un logiciel : c’est une logique de rotation que la plupart des solutions savent appliquer via des règles de rétention, des calendriers et des étiquettes de conservation.

Étape A — Choisir le type de sauvegarde

Le choix entre sauvegarde complète, incrémentale et différentielle est un compromis entre fenêtre de sauvegarde, consommation d’espace et facilité de restauration. Une complète est simple à restaurer mais coûteuse. Une incrémentale est efficace au quotidien mais dépend d’une chaîne, ce qui impose une bonne hygiène d’intégrité et de vérification. Une différentielle limite la longueur de chaîne au prix d’un volume qui grossit au fil de la semaine.

Dans beaucoup de PME, un schéma pragmatique consiste à faire une complète hebdomadaire et des incrémentales quotidiennes. Les sauvegardes mensuelles sont souvent des complètes, car elles sont plus simples à auditer, plus robustes sur la durée et moins sensibles aux chaînes longues. Dans des environnements virtualisés ou avec des solutions modernes (snapshots, synthétiques, CBT), ces notions peuvent être abstraites par l’outil ; l’essentiel reste d’obtenir des points de restauration cohérents et un temps de reprise compatible avec le RTO, y compris lorsque l’on restaure « loin dans le temps ».

Étape B — Créer trois « jobs » ou trois règles

Selon la solution, vous mettrez en place soit trois jobs distincts, soit une politique unique avec des règles GFS intégrées. L’objectif est identique : produire des points quotidiens à rétention courte, des points hebdomadaires à rétention intermédiaire, et des points mensuels à rétention longue, sans ambiguïté sur ce qui est conservé et ce qui expire.

Si vous optez pour plusieurs jobs, la cohérence opérationnelle devient critique. Vérifiez les fenêtres de sauvegarde, les verrous et la concurrence, l’impact sur la production, ainsi que la cohérence entre dépôts. Une rotation efficace n’est pas seulement une question de calendrier ; c’est aussi une orchestration qui évite qu’un job mensuel ne perturbe une hebdomadaire, ou qu’une politique de suppression n’élimine des points encore nécessaires à une chaîne de restauration.

Étape C — Définir la destination (et penser « 3-2-1 »)

GFS organise le temps, pas la résilience. Pour limiter les risques matériels, humains et cyber, rapprochez-vous de la règle 3-2-1 : trois copies, sur deux supports différents, avec au moins une copie hors site. Une mise en œuvre simple consiste à conserver une copie locale sur un serveur de sauvegarde ou un NAS pour restaurer rapidement, une copie secondaire sur un autre stockage indépendant, et une copie hors site vers un cloud ou un site secondaire.

Face aux ransomwares, l’emplacement ne suffit pas : il faut aussi empêcher la suppression ou le chiffrement des sauvegardes. L’immutabilité (Object Lock/WORM), des comptes séparés avec MFA, des droits minimaux, et idéalement une copie isolée (air gap logique ou physique) transforment une rotation GFS « standard » en dispositif réellement défendable en incident de sécurité.

5) Automatiser la rotation (et éviter l’explosion de l’espace disque)

Une rotation GFS doit vivre toute seule, sinon elle finit par dérailler. La première exigence est une rétention automatique : les points expirés doivent être supprimés ou basculés selon les règles, sans intervention manuelle. La seconde est l’optimisation du stockage : déduplication et compression, si disponibles, apportent un gain majeur sur les environnements à forte redondance.

Il est également indispensable de surveiller l’espace et la croissance. Fixez des seuils d’alerte, car un dépôt qui sature se traduit souvent par des échecs silencieux ou des sauvegardes incomplètes, découverts trop tard. Enfin, ne dimensionnez pas uniquement en « nombre de points » : estimez la taille des complètes, le taux de changement quotidien, la durée de conservation et le coût des copies hors site. Un GFS efficace est un GFS dimensionné, pas simplement configuré.

6) Contrôle d’intégrité : ce que vous devez vérifier régulièrement

Une sauvegarde non vérifiée est une sauvegarde supposée. Le suivi régulier doit couvrir le succès des jobs, leurs durées et les volumes transférés, car une variation anormale est souvent le symptôme d’un agent arrêté, d’un partage non monté, d’une exclusion trop large ou d’un problème de droits. L’intégrité doit être contrôlée via les mécanismes proposés par la solution, qu’il s’agisse de vérifications, de checksums ou de scans du dépôt.

La journalisation mérite également une attention particulière. Conserver les logs et les traces d’exécution facilite les audits, accélère le diagnostic en incident et permet de démontrer que la politique est réellement appliquée. Dans une logique de continuité, la preuve d’exécution vaut presque autant que l’exécution elle-même.

7) Tests de restauration : le vrai critère de réussite

Le seul indicateur qui compte en situation réelle est la capacité à restaurer dans les délais. Pour une PME, un rythme raisonnable consiste à restaurer chaque mois un élément métier depuis une sauvegarde journalière et une hebdomadaire, puis à réaliser chaque trimestre un test plus complet depuis une mensuelle, par exemple une VM, un serveur de fichiers ou une base applicative selon vos priorités.

Documentez la procédure de bout en bout : où restaurer, qui valide, quels contrôles fonctionnels effectuer, et combien de temps l’opération prend réellement. Cela donne une mesure concrète du RTO. Idéalement, ajoutez au moins une fois par an un test « pire cas », incluant l’hypothèse de comptes compromis, afin de valider les accès, les clés de chiffrement, la capacité à reconstruire sur une infrastructure neuve et la disponibilité des sauvegardes immuables ou isolées.

8) Exemple concret de planning GFS (simple à copier)

Un planning simple et courant consiste à exécuter des incrémentales « Son » du lundi au jeudi avec une rétention de 14 jours, à réaliser une complète « Father » le vendredi avec une rétention de huit semaines, et à produire une complète « Grandfather » le dernier vendredi du mois avec une rétention de douze mois. Selon l’outil, le job mensuel peut remplacer l’hebdomadaire de la même semaine, ou s’exécuter en plus si l’espace et la fenêtre le permettent. L’objectif est d’obtenir un jalon mensuel stable, facile à retrouver et à restaurer, sans désorganiser l’ensemble.

Adaptez les jours à votre production : si l’activité tourne le week-end, une complète le samedi peut être plus pertinente. Le bon planning n’est pas celui qui « fait joli » sur un calendrier, mais celui qui respecte vos fenêtres, vos performances et vos risques, tout en tenant réellement les objectifs RPO/RTO.

9) Pour aller plus loin sur les stratégies PME

Si vous cherchez une vue d’ensemble des approches adaptées aux petites structures, notamment sur les choix de supports, les compromis coût/sécurité et les bonnes pratiques opérationnelles, vous pouvez aussi lire cet article du site : Trois méthodes de sauvegarde de fichiers pour les toutes petites entreprises.

En pratique, une rotation GFS prend tout son sens quand elle est écrite, automatisée, surveillée et testée. Définissez une rétention alignée sur vos contraintes, rendez l’historique lisible, sécurisez les emplacements avec une logique 3-2-1 renforcée par l’immutabilité et la séparation des accès, puis validez régulièrement par de vraies restaurations. C’est cette combinaison — politique claire, exécution fiable, intégrité contrôlée et restauration éprouvée — qui transforme une sauvegarde « présente » en sauvegarde réellement utile le jour où tout va mal.