Tutoriel simple : mise en place d’une rotation de sauvegardes avec la méthode GFS

Mettre en place une rotation de sauvegardes est l’un des moyens les plus simples d’éviter un piège classique en entreprise : conserver trop de points de restauration et saturer le stockage, ou au contraire ne pas en conserver assez et se retrouver incapable de revenir au bon moment. La méthode GFS (Grandfather-Father-Son) apporte un cadre clair, facile à expliquer et à appliquer avec la majorité des outils du marché. Elle n’a toutefois de sens que si elle s’inscrit dans une stratégie globale de sauvegarde et de reprise incluant des objectifs RPO/RTO, une approche de type 3-2-1, des tests réguliers et des mesures de sécurité adaptées. Autrement dit, une rotation seule ne suffit pas : elle organise la rétention, mais ne garantit ni la résilience face aux sinistres ni la restaurabilité.

Comprendre la méthode GFS (Grandfather-Father-Son)

La rotation GFS organise la conservation des sauvegardes en trois niveaux, associés à des fréquences différentes. Le niveau « Son » correspond aux points de restauration les plus récents, généralement quotidiens, utiles pour les incidents du quotidien comme une suppression accidentelle ou une mauvaise manipulation. Le niveau « Father » correspond aux sauvegardes hebdomadaires, qui offrent une profondeur d’historique supplémentaire pour des problèmes découverts avec quelques jours ou semaines de décalage. Le niveau « Grandfather » correspond aux sauvegardes mensuelles, destinées à couvrir les risques qui émergent tardivement, comme une corruption progressive, une mauvaise configuration appliquée depuis longtemps ou un ransomware resté discret.

Un point essentiel est souvent mal compris : GFS décrit une politique de rétention (combien de temps on conserve des versions), pas un type de sauvegarde. Elle peut donc s’appliquer à des sauvegardes complètes, incrémentales ou différentielles. En pratique, le choix du type de sauvegarde et du schéma de chaînage influence surtout la fenêtre de sauvegarde, l’espace consommé et le temps de restauration. C’est précisément pour cela qu’il est utile de dissocier la logique de rétention (GFS) de la mécanique de sauvegarde (full/incrémental/différentiel) et des contraintes opérationnelles.

Exemple concret de politique GFS “simple” (adaptée PME)

Une politique de départ, lisible et souvent suffisante pour une PME consiste à conserver sept sauvegardes journalières, quatre sauvegardes hebdomadaires et douze sauvegardes mensuelles. Concrètement, vous obtenez une granularité jour par jour sur la dernière semaine, semaine par semaine sur environ un mois, puis mois par mois sur une année. C’est un bon équilibre entre capacité de retour en arrière et maîtrise du stockage, tant que cela reste cohérent avec vos besoins métiers.

Si le volume de données est important, il est généralement pertinent de combiner des sauvegardes incrémentales quotidiennes avec un point de consolidation régulier, par exemple un complet hebdomadaire ou mensuel, ou encore un « synthetic full » si l’outil le propose. L’objectif est de limiter l’impact sur la production tout en gardant une restauration fiable et prévisible. La bonne configuration n’est pas celle qui économise le plus d’espace à court terme, mais celle qui tient vos engagements RPO/RTO dans la durée, y compris quand il faut restaurer dans l’urgence.

Enfin, la fréquence doit être alignée sur votre RPO : si perdre une journée est inacceptable, une sauvegarde quotidienne est un minimum, et certaines applications exigeront un point de restauration intra-journalier. De même, votre RTO dépendra autant de la taille des données, des débits réseau, de l’architecture (VM, bases, fichiers) et des procédures que de la rotation elle-même. Une rotation bien conçue doit donc être « dimensionnée » par des objectifs de reprise réalistes, pas par une simple habitude.

Choisir le bon support et la bonne “cible” de sauvegarde

GFS n’est qu’une manière d’organiser l’historique ; elle ne remplace pas les bonnes pratiques de base. Pour une entreprise, la priorité est de disposer d’au moins deux emplacements de sauvegarde, avec une copie externalisée, et de garder en toile de fond la règle 3-2-1 : trois copies des données, sur deux types de supports, dont une hors site. Sans cela, un incident physique (incendie, dégât des eaux, vol) ou un incident logique (ransomware, compromission) peut anéantir production et sauvegardes en même temps.

Dans le contexte actuel, la capacité à résister au ransomware dépend fortement de la séparation des accès et de l’immutabilité lorsque c’est possible : Object Lock/WORM, snapshots verrouillés, coffre-fort de sauvegarde, comptes d’administration séparés et authentification forte. Une copie hors site n’apporte une vraie valeur que si elle est suffisamment isolée pour qu’un attaquant ne puisse pas la chiffrer ou la supprimer avec les mêmes identifiants que ceux compromis en production.

Mettre en place la rotation GFS avec des outils accessibles

La méthode GFS peut être mise en œuvre avec des logiciels de sauvegarde dédiés, des mécanismes de snapshots avec réplication, ou encore des scripts planifiés. Dans la plupart des cas, un outil de sauvegarde dédié reste l’option la plus robuste : il centralise la planification, la rétention GFS, le chiffrement, les rapports et la supervision. Les snapshots sont très utiles pour des restaurations rapides, mais ne doivent pas être confondus avec une sauvegarde complète lorsqu’ils restent sur le même stockage ou partagent le même domaine de panne ; la combinaison snapshots pour le court terme et sauvegarde vers un dépôt distinct pour la résilience est souvent la meilleure approche. Les scripts, eux, peuvent fonctionner, mais ils augmentent le risque opérationnel : rotation qui dérive, absence d’alerting fiable, tests incomplets, dépendance à une personne.

Dans un logiciel, la mise en place se résume généralement à définir la planification des sauvegardes, les règles de rétention pour chaque niveau GFS, la purge automatique et son comportement en cas de manque d’espace, ainsi que des notifications exploitables. Le point le plus important est la clarté : une politique de rétention explicite, alignée sur les besoins métiers, évite les arbitrages au dernier moment quand le dépôt se remplit et simplifie la conformité et les audits.

Automatiser (sans perdre le contrôle)

L’automatisation est indispensable : une sauvegarde manuelle finit presque toujours par être oubliée, ou exécutée de manière inégale. Pour garder le contrôle, il faut planifier les jobs afin de limiter l’impact sur la production, activer des rapports réguliers réellement lus, surveiller la capacité du dépôt et anticiper la croissance. La documentation est un complément opérationnel, pas un luxe : où sont stockées les sauvegardes, quels accès existent, quel est le chemin de restauration, quels systèmes sont prioritaires et quels objectifs RPO/RTO sont visés. Sans ces éléments, une sauvegarde peut « tourner » pendant des mois sans offrir de garantie le jour où l’on en a besoin.

Pour structurer cette gouvernance, il est pertinent de s’appuyer sur des recommandations reconnues en matière de continuité et de reprise. À titre de référence, le NIST propose un guide sur la planification de continuité et de reprise : NIST – Contingency Planning Guide.

Tester les restaurations : l’étape que beaucoup oublient

Une sauvegarde n’a de valeur que si la restauration fonctionne, et si elle fonctionne dans les délais attendus. Il est donc indispensable d’instaurer des tests réguliers, allant d’une restauration simple de fichiers ou dossiers à des scénarios plus réalistes comme la restauration d’une machine virtuelle, d’une base de données ou d’un partage complet. L’enjeu n’est pas uniquement technique : mesurer les durées réelles met en évidence les goulots d’étranglement (bande passante, performances du dépôt, procédure, dépendances applicatives) et permet de valider ou de corriger le RTO.

Conserver une trace des tests (date, périmètre, point de restauration utilisé, résultat, durée) transforme la sauvegarde en capacité démontrable, utile en audit comme en gestion de crise. Sans preuve de restauration, une chaîne de sauvegarde reste une hypothèse.

Vérifier l’intégrité et se protéger des corruptions silencieuses

Les échecs de sauvegarde visibles ne sont pas les seuls risques. Il existe aussi des corruptions progressives, des sauvegardes « réussies » mais inexploitables, ou des chaînes incrémentales fragilisées. Activer les fonctions de vérification d’intégrité (checksums, health checks, vérification automatique, restauration de test) réduit fortement ce risque. Si vous répliquez vos sauvegardes, il faut également éviter de propager silencieusement un état dégradé : la réplication doit être surveillée et contrôlée, avec des alertes et des validations cohérentes.

Enfin, la sécurité du dépôt est déterminante : principe du moindre privilège, comptes dédiés, séparation des rôles, authentification forte pour l’administration et limitation stricte des droits d’écriture depuis les postes utilisateurs. Une rotation GFS parfaite ne sert à rien si un attaquant peut supprimer les sauvegardes avec les mêmes accès que ceux qu’il vient de compromettre.

Mini check-list de démarrage (à copier/coller)

Avant de configurer quoi que ce soit, clarifiez le périmètre à protéger, en incluant non seulement les fichiers et serveurs, mais aussi les VM, bases de données et services SaaS si votre activité en dépend, puis définissez des priorités de restauration. Fixez ensuite des objectifs RPO/RTO réalistes pour les systèmes critiques, choisissez un dépôt local pour restaurer vite et une copie hors site pour survivre à un sinistre, et appliquez une rétention GFS de type sept journalières, quatre hebdomadaires et douze mensuelles en l’ajustant à vos contraintes.

Sécurisez la chaîne avec chiffrement, comptes séparés, MFA et immutabilité quand elle est disponible, activez des alertes et des rapports réellement surveillés, puis mettez en place un rituel de tests de restauration et un suivi de capacité pour éviter que la croissance des données ne transforme progressivement la sauvegarde en point de défaillance.

Pour aller plus loin sur le site

Si vous êtes en phase de choix ou de comparaison, vous pouvez aussi consulter cet article interne : Comment choisir une solution de sauvegarde de fichier en ligne.

En résumé, la rotation GFS est une excellente base pour maîtriser l’historique des sauvegardes, à condition de la relier explicitement à vos objectifs RPO/RTO, de la déployer sur des cibles réellement résilientes (local + hors site, idéalement 3-2-1), de protéger le dépôt contre les attaques et les erreurs, et surtout de tester régulièrement la restauration. La meilleure politique de sauvegarde n’est pas celle qui « tourne », mais celle qui permet de revenir vite au bon état, au bon moment, même lorsque tout le reste va mal.