Tutoriel simple : mise en place d’une rotation de sauvegardes avec la méthode GFS

Mettre en place une politique de sauvegarde en entreprise ne se résume pas à « faire une copie de temps en temps ». Sans rotation et sans règles de conservation, on finit vite avec des archives illisibles, une rétention incohérente et, surtout, l’incapacité de revenir au bon point dans le temps après un incident comme une suppression, une corruption, une erreur humaine ou une attaque par ransomware. La méthode GFS (Grandfather-Father-Son) est un cadre simple et très répandu pour structurer des sauvegardes journalières, hebdomadaires et mensuelles, tout en maîtrisant l’espace de stockage et la durée de conservation. Elle ne remplace pas une vraie stratégie de reprise, mais elle en constitue souvent la colonne vertébrale côté rétention.

La méthode GFS : le principe en une minute

GFS signifie « Son » (Fils), « Father » (Père) et « Grandfather » (Grand-père). Les « fils » correspondent aux sauvegardes les plus fréquentes, généralement quotidiennes. Les « pères » sont des points hebdomadaires, conservés plus longtemps. Les « grands-pères » sont des points mensuels, destinés à l’historique long terme. Le principe est de conserver beaucoup de points récents, moins de points à moyen terme et quelques points à long terme, afin d’obtenir un historique exploitable sans tout garder indéfiniment.

Il est essentiel de comprendre que GFS est un schéma de rétention, pas une technologie. On peut l’appliquer à des sauvegardes complètes, incrémentielles ou différentielles, à des dépôts avec déduplication, et parfois à des snapshots. Dans ce dernier cas, il faut rester prudent : un instantané est excellent pour revenir rapidement en arrière, mais il n’est pas automatiquement une sauvegarde au sens « résiliente », notamment s’il reste sur le même système de stockage.

Exemple concret de calendrier GFS (simple et efficace)

Un exemple courant, adapté à une petite structure (fichiers bureautiques, partages réseau, dossiers projets), consiste à conserver cinq jeux de sauvegardes quotidiennes sur une semaine ouvrée, quatre jeux hebdomadaires sur un mois, et douze jeux mensuels sur un an. Ce modèle « 5/4/12 » est populaire car il offre une granularité utile pour les erreurs récentes, tout en gardant une profondeur d’historique raisonnable pour les besoins de conformité, d’audit ou de retour en arrière sur des modifications passées.

En pratique, la rotation se fait naturellement. Chaque jour, le point quotidien le plus ancien est remplacé par le nouveau. En fin de semaine, on crée un point hebdomadaire ou l’on « promeut » une sauvegarde quotidienne si l’outil le permet. En fin de mois, on crée un point mensuel ou l’on promeut une hebdomadaire. Si l’activité fonctionne le week-end, il est souvent préférable de passer à sept sauvegardes quotidiennes plutôt que cinq, afin d’éviter des zones aveugles dans l’historique.

Ce calendrier n’est toutefois qu’un point de départ. La rétention doit découler des objectifs métiers de reprise (RPO pour la perte de données acceptable, RTO pour le délai de remise en service), des contraintes légales ou contractuelles, et des capacités de stockage. Dans certains contextes, une conservation mensuelle d’un an est insuffisante ; dans d’autres, elle est excessive. L’important est d’assumer le compromis entre profondeur d’historique, coûts et complexité opérationnelle.

Combien d’espace disque prévoir ? (méthode de calcul accessible)

Le dimensionnement dépend moins de GFS lui-même que du type de sauvegarde et des fonctionnalités de l’outil : compression, déduplication, sauvegarde synthétique, optimisation réseau, gestion des blocs, et politique de « consolidation » des points. Une sauvegarde complète est simple à comprendre mais volumineuse. Une sauvegarde incrémentielle ne stocke que les changements depuis le dernier point, ce qui limite la croissance, mais peut introduire une dépendance à une chaîne logique de restauration selon l’implémentation. Une sauvegarde différentielle, stockant les changements depuis la dernière complète, se situe entre les deux en termes de taille et de simplicité.

Une approche réaliste et souvent efficace consiste à combiner une complète hebdomadaire et des incrémentielles quotidiennes. Par exemple, pour 500 Go de données avec 2 % de changements par jour, on obtient environ 500 Go pour la full hebdomadaire et environ 50 Go pour cinq incrémentielles (5 × 10 Go), soit 550 Go par semaine avant compression, déduplication et surcoûts de métadonnées. Ensuite, on applique la rétention réelle (hebdomadaires, mensuelles), on tient compte de la croissance naturelle des données, et on ajoute une marge pour les pics, les exceptions et les périodes de transition applicative. Cette logique évite de sous-dimensionner le stockage, cause fréquente d’échecs de sauvegarde et de rotations incohérentes.

Mise en place “simple” avec des outils accessibles

La rotation GFS peut être mise en œuvre avec de nombreux outils, des plus simples aux plus avancés. Le point décisif n’est pas le nombre d’options, mais la capacité à planifier correctement, appliquer une rétention fiable, chiffrer si nécessaire, vérifier l’intégrité et, surtout, restaurer rapidement. Une stratégie de sauvegarde crédible doit aussi intégrer un volet de protection contre l’attaquant : au minimum une copie supplémentaire difficile à modifier ou à supprimer, via une approche de type 3-2-1 (plusieurs copies, sur plusieurs supports, dont une hors site), et idéalement une cible immutable/WORM ou un support déconnecté. Sans cela, une rotation GFS parfaitement exécutée peut être chiffrée ou effacée en même temps que la production.

Option A : Windows (PME) avec un outil de sauvegarde qui gère la rétention

Sur Windows, la plupart des solutions de sauvegarde permettent de définir des tâches quotidiennes, hebdomadaires et mensuelles avec des règles de conservation. Une mise en place pragmatique consiste à séparer clairement les jeux (quotidiens, hebdomadaires, mensuels) dans des emplacements distincts, par exemple sur un NAS ou un dépôt réseau, afin de simplifier la lecture et les contrôles. La compression aide à contenir les volumes, tandis que le chiffrement est indispensable dès que des données sensibles (RH, finance, contrats, données clients) sont incluses.

Le chiffrement impose en contrepartie une discipline stricte sur la gestion des clés et des mots de passe. Une sauvegarde chiffrée dont la clé est perdue n’est pas une sauvegarde ; c’est une perte définitive maquillée. La documentation des accès, la séparation des rôles et la conservation sécurisée des secrets font donc partie de la mise en place, au même titre que la planification.

Option B : Linux / NAS avec des snapshots (très pratique pour les fichiers)

Sur Linux ou NAS, les snapshots sont souvent la manière la plus simple d’obtenir un historique « façon GFS » pour des fichiers : des instantanés quotidiens conservés une semaine, hebdomadaires conservés un mois, mensuels conservés un an. Ils offrent une restauration très rapide et un coût de stockage souvent optimisé par la logique « copy-on-write ». En revanche, un snapshot n’est pas automatiquement une sauvegarde robuste, car il reste fréquemment sur le même stockage, avec les mêmes risques de panne matérielle, de sinistre, ou de compromission des droits.

La bonne pratique consiste à répliquer ces snapshots vers un autre système, idéalement dans une autre zone de risque (autre NAS, autre salle, autre site, ou cloud), et à activer des mécanismes d’immutabilité quand ils existent. C’est cette séparation qui transforme un historique local très pratique en véritable filet de sécurité.

Automatiser sans se tirer une balle dans le pied

L’automatisation est indispensable, mais elle doit rester lisible et contrôlable. Un nommage clair des points de restauration, incluant la date, le type (daily/weekly/monthly) et le périmètre (fichiers, application, base de données), évite les ambiguïtés au moment critique. Des horaires réalistes, adaptés aux fenêtres d’activité et à la charge système, réduisent les échecs silencieux et les sauvegardes incomplètes. La journalisation et l’alerte ne doivent pas seulement signaler un échec ; elles doivent aussi détecter l’absence de sauvegarde attendue, les durées anormales et les problèmes de capacité.

Enfin, l’accès au dépôt de sauvegarde doit être traité comme un actif de sécurité majeur. Utiliser un compte de service dédié, appliquer le principe du moindre privilège, limiter qui peut supprimer des points, et séparer les droits d’administration des droits de production réduit considérablement l’impact d’une compromission. Dans un contexte ransomware, la différence entre « sauvegardes présentes » et « sauvegardes récupérables » se joue souvent à ce niveau.

Tester la restauration : l’étape que beaucoup oublient

Une sauvegarde n’a de valeur que si la restauration fonctionne, rapidement, dans des délais compatibles avec le métier. Il est pertinent de prévoir des tests réguliers et progressifs : restaurer un fichier depuis une sauvegarde quotidienne, restaurer un dossier complet depuis une hebdomadaire, puis simuler périodiquement une restauration plus complète sur un environnement de test, voire la remise en service d’une machine virtuelle lorsque l’infrastructure s’y prête.

Ces exercices doivent être documentés avec le même sérieux que la sauvegarde elle-même : où se trouvent les points, qui a les accès, où sont les clés de chiffrement, quel est le RTO réaliste et jusqu’à quelle date on peut remonter (RPO). Cette documentation n’est pas un luxe ; c’est ce qui permet d’agir correctement sous pression.

Vérifier l’intégrité : détection silencieuse de la corruption

Les erreurs silencieuses existent : secteurs défectueux, corruption progressive, problèmes réseau, erreurs logicielles, ou incohérences applicatives. Activer les mécanismes de vérification (checksums, validation après sauvegarde, contrôles de santé du dépôt) réduit fortement le risque de découvrir trop tard qu’un point est inutilisable. Sur des stockages critiques, des systèmes de fichiers et plateformes capables de scrubbing et de vérification périodique apportent une protection supplémentaire. La surveillance de l’état des disques et le remplacement proactif complètent le dispositif, car une bonne rétention ne compense pas un support défaillant ignoré trop longtemps.

Checklist GFS prête à l’emploi

Avant de déployer, il faut clarifier le périmètre à protéger, distinguer ce qui est critique du reste et définir des objectifs de reprise cohérents (RPO/RTO) en tenant compte des obligations légales et contractuelles. Le choix des cibles doit inclure, au-delà du stockage principal, au moins une copie séparée de la production, idéalement hors site et/ou immutable. La rétention, qu’elle soit de type 5/4/12 ou adaptée, doit être explicitement décidée et validée. Enfin, l’automatisation doit s’accompagner d’alertes et de supervision, de tests de restauration réguliers et de contrôles d’intégrité, faute de quoi la stratégie reste théorique.

En conclusion, GFS est une excellente base pour reprendre le contrôle sur l’historique des sauvegardes, à condition de ne pas le confondre avec une stratégie complète de résilience. Les actions qui font réellement la différence sont de relier la rétention aux besoins métiers (RPO/RTO), de protéger une copie contre la suppression ou le chiffrement (hors site et/ou immutabilité), d’industrialiser la supervision et, surtout, de tester la restauration jusqu’à en faire un réflexe. C’est cette combinaison qui transforme une rotation « bien rangée » en capacité réelle de reprise après incident.