Tutoriel : mise en place d’une rotation de sauvegardes selon la méthode GFS

La rotation de sauvegardes fait partie des mesures les plus efficaces pour éviter un piège fréquent en entreprise : disposer de “sauvegardes” sans être capable de restaurer rapidement la bonne version, ou découvrir trop tard qu’un point sain a été écrasé, purgé ou rendu inutilisable. La méthode GFS (Grandfather–Father–Son) apporte un cadre simple et robuste pour organiser des cycles journaliers, hebdomadaires et mensuels, tout en gardant la maîtrise de la rétention, des coûts de stockage et des exigences de conformité. Elle ne remplace pas une stratégie de continuité d’activité, mais elle en constitue souvent l’ossature opérationnelle.

1) Comprendre la méthode GFS (Grandfather-Father-Son)

GFS est une stratégie de rotation qui structure la conservation des sauvegardes en trois niveaux. Les “Son” correspondent aux sauvegardes journalières, utiles pour les erreurs du quotidien et les restaurations rapides, conservées sur une période courte, typiquement une à deux semaines. Les “Father” désignent des sauvegardes hebdomadaires, conservées plusieurs semaines, qui servent de jalons intermédiaires en cas de détection tardive d’un incident ou pour réduire la dépendance à une longue chaîne d’incrémentaux. Les “Grandfather” sont des sauvegardes mensuelles, parfois complétées par des annuelles, conservées sur une durée plus longue, par exemple un an ou davantage selon les obligations réglementaires, contractuelles ou métiers.

L’objectif est double : disposer de points de restauration récents, et maintenir des repères plus anciens pour couvrir les corruptions progressives, les suppressions passées inaperçues, les audits et certains besoins légaux. Il est essentiel de comprendre que GFS décrit une logique de conservation et de promotion des points de restauration, pas un type de sauvegarde. On peut l’appliquer à des sauvegardes complètes, incrémentales, différentielles, à des “synthetic full” ou à des moteurs avec déduplication, à condition que l’outil garantisse la restaurabilité réelle des points conservés.

2) Choisir une politique de rétention simple (exemple prêt à l’emploi)

Pour un environnement de PME/ETI, une politique efficace doit rester compréhensible, stable dans le temps et alignée sur les besoins métiers. Un modèle courant est de conserver environ deux semaines de journalières, six à huit semaines d’hebdomadaires et douze mois de mensuelles. L’important n’est pas l’exactitude des chiffres au jour près, mais la cohérence entre ce que l’entreprise accepte de perdre, le temps acceptable de reprise, et le coût de stockage associé.

La rétention doit être ajustée à trois contraintes majeures. Le RPO (perte de données acceptable) impose de réfléchir à la fréquence : si perdre 24 heures est inacceptable, des sauvegardes uniquement nocturnes sont insuffisantes et il faut envisager des incrémentales plus fréquentes, de la journalisation applicative ou des snapshots cohérents. Le RTO (temps de reprise) influence la forme des sauvegardes et l’architecture : si la reprise doit être rapide, il faut limiter les chaînes d’incrémentaux trop longues, privilégier des points restaurables “directement”, et stocker au moins une copie sur un support permettant des restaurations rapides. Enfin, la conformité et la gouvernance imposent souvent de la traçabilité (qui restaure quoi et quand), une rétention longue et, de plus en plus, une immutabilité de type WORM/Object Lock pour les archives ou les sauvegardes critiques.

Pour cadrer la démarche de continuité et de reprise, le guide NIST sur la planification de continuité constitue une base utile : NIST SP 800-34 Rev.1.

3) Planifier le calendrier GFS (journalière / hebdo / mensuelle)

Un calendrier GFS fonctionne bien lorsqu’il est prévisible et adapté aux fenêtres de sauvegarde. Un schéma typique consiste à exécuter des sauvegardes quotidiennes en incrémental (ou différentiel) les jours ouvrés, puis une sauvegarde hebdomadaire plus robuste, idéalement une complète ou une “synthetic full” selon les capacités de l’outil et du stockage. La sauvegarde mensuelle peut être réalisée comme une complète dédiée, mais elle est souvent mise en œuvre par “promotion” de la dernière hebdomadaire du mois, ce qui réduit la charge en I/O, la fenêtre de sauvegarde et la consommation inutile de capacité.

Cette promotion n’a de sens que si l’outil garantit la restaurabilité du point mensuel sans dépendances fragiles. Il faut notamment vérifier que la rétention des journalières et hebdomadaires ne supprime pas des blocs ou des éléments nécessaires à la restauration d’un mensuel, et que le mensuel reste un véritable point autonome du point de vue de la restauration. Dans le doute, mieux vaut un mensuel complet ou synthétique explicitement indépendant, même s’il coûte davantage.

4) Mettre en place la rotation dans des outils courants (logique de configuration)

Les solutions de sauvegarde varient (Veeam, Acronis, Windows Server Backup, appliances NAS, services cloud), mais la logique de configuration reste généralement la même : définir une rétention courte pour les points journaliers, activer une conservation hebdomadaire et mensuelle via des mécanismes GFS, puis s’assurer que la politique s’applique réellement sur le stockage cible. Le point le plus souvent sous-estimé n’est pas le paramétrage de la rotation, mais la séparation des copies : une rotation parfaitement définie sur un seul stockage reste vulnérable à un sinistre local, un vol, une erreur d’administration ou un ransomware.

Dans la pratique, il faut donc prévoir un stockage principal pour les restaurations rapides et une copie hors site, que ce soit via un second site, un cloud, ou un second support. C’est là que la règle 3-2-1 conserve toute sa pertinence : au moins trois copies, sur deux supports différents, dont une hors site. Face au risque ransomware, il est préférable d’aller vers une approche de type 3-2-1-1-0, en ajoutant au moins une copie hors ligne ou immuable, et en visant “zéro erreur” grâce à des vérifications et des tests de restauration réguliers.

Bonnes pratiques de nommage

Lors d’une restauration en urgence, la clarté prime. Une convention de nommage explicite ou une documentation simple permet d’éviter les erreurs de sélection, surtout lorsque plusieurs environnements, serveurs ou politiques cohabitent. L’essentiel est d’indiquer clairement la catégorie (journalière, hebdomadaire, mensuelle) et la date, afin que l’équipe identifie immédiatement le bon point de restauration, y compris en dehors des horaires habituels.

5) Automatiser sans perdre le contrôle (supervision et alertes)

Une rotation GFS n’apporte de valeur que si elle est fiable et observable. L’automatisation doit s’accompagner d’alertes sur les échecs, les durées anormales, l’absence de point attendu, et la saturation de capacité. La surveillance du stockage est cruciale, car les points hebdomadaires et mensuels consomment davantage, et un manque d’espace peut provoquer des échecs en cascade ou des purges imprévues.

La documentation est un autre élément déterminant : emplacement des sauvegardes, personnes notifiées, procédure de vérification, procédure de restauration et escalade en cas d’incident. Enfin, la sécurité de la solution de sauvegarde doit être traitée comme celle d’un système critique. Les comptes dédiés, l’authentification forte lorsque possible, la séparation des rôles et le durcissement de la console réduisent fortement le risque qu’un attaquant neutralise ou chiffre les sauvegardes.

6) Vérifier régulièrement l’intégrité et tester la restauration

La principale faiblesse des stratégies de sauvegarde n’est pas l’absence de sauvegarde, mais l’absence de preuve de restauration. Les fonctions de vérification d’intégrité (“health check”, “verify”) et de tests automatisés de démarrage ou de restauration applicative doivent être activées dès que l’outil le permet. Au-delà des contrôles techniques, il est indispensable d’instaurer un rituel de tests : restaurer périodiquement un fichier depuis une sauvegarde journalière, valider une restauration depuis une hebdomadaire et, à intervalle régulier, effectuer une restauration depuis une mensuelle. Pour les systèmes critiques, des tests de restauration complète dans un environnement isolé permettent de valider les temps de reprise et la cohérence globale.

La cohérence applicative ne doit pas être supposée. Pour les bases de données et applications (SQL, messagerie, ERP), la sauvegarde doit être “application-aware” afin de garantir la cohérence et la rejouabilité des journaux si nécessaire. Enfin, la défense contre le ransomware passe par une copie réellement protégée : immutabilité (WORM/Object Lock) ou isolement hors ligne, combinés à des droits d’accès stricts.

7) Exemple concret (cas d’usage PME)

Prenons le cas d’un serveur de fichiers et d’une base applicative, avec l’objectif de pouvoir revenir en arrière sur dix jours et de conserver une trace mensuelle sur un an. Une approche simple consiste à exécuter chaque nuit une sauvegarde incrémentale conservée dix jours, à produire chaque semaine une sauvegarde complète (ou synthétique) conservée environ six semaines, puis à promouvoir la dernière hebdomadaire du mois en mensuelle conservée douze mois. À cela s’ajoute une copie hors site, idéalement avec immutabilité, pour couvrir les scénarios de sinistre et de compromission.

Ce schéma reste lisible pour les équipes, évolue bien avec la croissance et couvre la majorité des incidents réels : suppression accidentelle, corruption progressive, panne système, ransomware ou découverte tardive d’un problème.

8) Aller plus loin

GFS est un excellent cadre pour organiser la rétention, mais il prend tout son sens lorsqu’il s’inscrit dans une démarche plus large : objectifs RPO/RTO définis avec le métier, application de la règle 3-2-1 (ou plus), immutabilité lorsque le risque l’exige, supervision, et preuves régulières de restauration. Pour compléter sur des approches adaptées aux petites structures, vous pouvez consulter : Trois méthodes de sauvegarde de fichiers pour les (toutes) petites entreprises.

En définitive, une rotation GFS pertinente ne se résume pas à “garder des sauvegardes plus longtemps” : elle consiste à définir une rétention compréhensible, à garantir l’existence d’au moins une copie hors site et idéalement immuable, à sécuriser la solution de sauvegarde elle-même, et à prouver régulièrement que la restauration fonctionne. C’est cette combinaison — politique claire, copies correctement séparées, contrôle opérationnel et tests — qui transforme des sauvegardes en véritable capacité de reprise.