Rotation de sauvegardes en entreprise : mettez en œuvre la méthode GFS simplement

En PME comme dans les grandes entreprises, la difficulté n’est pas seulement de faire des sauvegardes, mais de décider combien de points de restauration conserver, pendant combien de temps et sur quels emplacements. Sans cadre clair, on finit soit par saturer le stockage, soit, plus grave, par découvrir trop tard que la rétention ne permet pas de revenir à un état « sain » après une suppression, une corruption, une erreur humaine ou un ransomware. La rotation Grandfather-Father-Son (GFS) est une approche simple et éprouvée pour rendre la rétention lisible, maîtriser la capacité et faciliter l’audit, à condition de l’articuler avec des objectifs RPO/RTO, des emplacements réellement résilients et des tests de restauration.

1) La méthode GFS, expliquée simplement

La rotation GFS organise la rétention en trois horizons temporels qui se complètent. Les sauvegardes Son couvrent le quotidien, avec beaucoup de points récents et une conservation courte. Les sauvegardes Father structurent la semaine, avec moins de points mais une conservation plus longue. Les sauvegardes Grandfather cadrent le long terme, en conservant quelques jalons mensuels (ou plus espacés) sur plusieurs mois, voire plus selon les contraintes légales, métier ou d’assurance.

L’intérêt est pragmatique : disposer de nombreux retours arrière proches pour les incidents fréquents, tout en gardant quelques versions anciennes pour les problèmes qui passent inaperçus pendant plusieurs semaines. Pour une définition générale des schémas de rotation : Backup rotation scheme (Wikipedia).

2) Exemple concret de planification GFS (PME)

Un exemple souvent adapté aux PME consiste à conserver environ deux semaines de sauvegardes quotidiennes, deux mois de sauvegardes hebdomadaires et un an de sauvegardes mensuelles. Concrètement, cela peut se traduire par 10 sauvegardes “Son”, 8 sauvegardes “Father” et 12 sauvegardes “Grandfather”, à ajuster selon le volume de données, la criticité et surtout vos objectifs de RPO (perte de données acceptable) et de RTO (temps de reprise visé).

Pour éviter les confusions en exploitation, un nommage explicite est utile, par exemple son-2026-06-01 pour le quotidien, father-2026-W23 pour l’hebdomadaire, et grandfather-2026-06 pour le mensuel. L’essentiel est que la rétention soit définie à l’avance et appliquée automatiquement : les “Son” expirent au bout d’un nombre de jours fixé, les “Father” au bout d’un nombre de semaines, et les “Grandfather” au bout d’un nombre de mois. C’est cette mécanique d’expiration, d’écrasement ou de “promotion” selon l’outil qui empêche la dérive de capacité et garantit une stratégie prévisible.

3) Quel type de sauvegarde utiliser avec GFS : complète, incrémentielle, différentielle

La rotation GFS décrit avant tout une politique de rétention, indépendante de la technique de sauvegarde. Une sauvegarde complète est simple à restaurer mais consomme davantage. Une sauvegarde incrémentielle ne prend que les changements depuis la dernière exécution, ce qui réduit les fenêtres de sauvegarde et l’espace, au prix d’une restauration qui peut dépendre d’une chaîne (selon la technologie). Une sauvegarde différentielle capture les changements depuis la dernière complète, avec une taille qui augmente au fil du temps mais une restauration souvent plus directe qu’une longue chaîne d’incréments.

Un schéma courant, lisible et facile à auditer consiste à faire une complète hebdomadaire avec des incrémentielles quotidiennes, et à conserver une mensuelle soit via une complète dédiée, soit en “marquant” une hebdomadaire comme mensuelle. Il faut toutefois garder en tête que beaucoup de solutions modernes (déduplication, sauvegardes synthétiques, snapshots, sauvegarde image) brouillent la distinction “complète/incrémentielle” côté stockage. Le critère déterminant reste opérationnel : vos points de restauration doivent respecter la rétention, et la restauration doit être fiable, documentée et testée.

4) Mise en œuvre pratique : où stocker et comment organiser les emplacements

Une stratégie GFS cohérente se joue autant sur la rétention que sur les emplacements et l’isolement. Un stockage local (NAS ou serveur de sauvegarde) accélère les restaurations quotidiennes et réduit les interruptions. Une copie hors site, sur un second site ou dans le cloud, est indispensable contre le vol, l’incendie, la panne majeure et les scénarios où tout le site est impacté. Idéalement, cette copie doit aussi résister à un attaquant déjà présent dans le SI.

La règle “3-2-1” reste une base saine : plusieurs copies, sur des supports différents, dont une hors site. Dans la pratique moderne, il est fortement recommandé d’ajouter une notion d’immutabilité ou de WORM (object lock, coffre-fort de sauvegarde, stockage non réinscriptible). À défaut, l’objectif minimal est que la cible hors site ne soit pas accessible en écriture permanente depuis les postes et serveurs, et que la suppression des sauvegardes soit impossible avec des identifiants courants.

Si vous avez besoin de bases pour choisir une solution adaptée (NAS, disque, sauvegarde en ligne, etc.), vous pouvez aussi consulter cet article interne : Comment choisir une solution de sauvegarde de fichier en ligne.

5) Configuration avec des outils courants (approche “recette”)

Quel que soit l’outil, la logique reste la même : définir précisément ce qui est protégé, à quel rythme, avec quelle rétention et avec quels contrôles d’accès. Le périmètre doit inclure les données métiers, les partages, les machines virtuelles et surtout les bases de données via des mécanismes “app-aware” lorsque c’est possible, sans oublier d’exclure ce qui est régénérable (caches, temporaires) pour limiter le bruit et la consommation.

Le calendrier doit ensuite traduire vos besoins de reprise : des exécutions quotidiennes en dehors des heures ouvrées, une opération hebdomadaire structurante, et un jalon mensuel explicitement identifié. La rétention doit être appliquée par une politique claire d’expiration ou de “promotion”, afin d’éviter les erreurs d’étiquetage qui conduisent à supprimer trop tôt une mensuelle. Enfin, la sécurité n’est pas optionnelle : chiffrement au repos et en transit quand c’est disponible, comptes dédiés, MFA sur la console, séparation des privilèges et impossibilité pour les utilisateurs ou les administrateurs “du quotidien” de supprimer l’historique de sauvegarde.

6) Automatiser sans perdre le contrôle : supervision et preuves

Une sauvegarde non surveillée finit presque toujours par échouer pour une raison banale : identifiants expirés, espace plein, certificat, partage indisponible, tâche planifiée cassée. La supervision doit donc couvrir l’espace disque, l’état des jobs, la durée d’exécution et l’évolution des volumes sauvegardés. Une hausse anormale peut signaler un périmètre qui dérive, un changement applicatif, ou dans le pire des cas un chiffrement malveillant qui commence à toucher les données.

En contexte d’audit, d’assurance ou de conformité, les rapports automatiques ne suffisent pas toujours : une politique GFS écrite, même courte, devient une preuve simple et solide si elle mentionne les systèmes couverts, la fréquence, la rétention, les responsabilités, l’emplacement des copies et la procédure de restauration.

7) Vérifier l’intégrité et tester la restauration (l’étape trop souvent oubliée)

Le but d’une sauvegarde n’est pas de stocker “quelque part”, mais de restaurer vite et correctement. L’intégrité doit être contrôlée via les mécanismes de validation proposés par l’outil, et par des vérifications régulières de lisibilité d’une sauvegarde mensuelle (montage, extraction, restauration sur un environnement de test lorsque c’est possible). Ces contrôles réduisent le risque de découvrir une sauvegarde corrompue le jour où l’on en a réellement besoin.

Les tests de restauration doivent devenir une routine, car ils valident à la fois la technique et l’organisation. Restaurer régulièrement un fichier au hasard permet une preuve rapide et répétable, tandis que des exercices plus complets, par exemple trimestriels, vérifient la capacité à reconstruire un serveur, une VM ou un partage entier dans les délais attendus. C’est aussi à ce moment que les notions de RPO et RTO prennent tout leur sens : elles servent de boussole pour ajuster fréquence, rétention et emplacements.

8) Erreurs courantes avec GFS (et comment les éviter)

La première erreur consiste à tout garder “au cas où”, ce qui mène au disque plein et à des échecs en cascade ; une rétention réaliste, appliquée automatiquement, est plus sûre qu’une conservation indéfinie. Une autre erreur fréquente est de disposer d’une copie hors site qui n’est pas réellement isolée : si la cible est accessible en écriture avec des identifiants compromis, elle n’apporte pas la protection attendue contre un ransomware. Il faut aussi veiller à l’alignement du calendrier, car une mensuelle mal identifiée peut être traitée comme une hebdomadaire et expirer trop tôt. Enfin, la séparation des droits et les tests de restauration restent les deux points les plus souvent négligés, alors qu’ils conditionnent directement la capacité à sortir d’une crise.

Conclusion : une méthode simple, une exécution exigeante

La rotation GFS apporte une structure claire et “audit-ready” à la rétention : beaucoup de points récents, quelques jalons hebdomadaires, et des archives mensuelles maîtrisées. Pour qu’elle tienne ses promesses, l’essentiel est d’ancrer la politique dans vos objectifs RPO/RTO, de disposer d’au moins une copie hors site réellement isolée et idéalement immuable, de superviser les exécutions et la capacité, et surtout de tester régulièrement la restauration. C’est cette combinaison, plus que la seule planification, qui transforme une rotation GFS en stratégie de sauvegarde réellement fiable.