Une stratégie de sauvegarde ne se résume pas à "faire une copie de temps en temps". Ce guide reprend les notions essentielles pour la dimensionner correctement : la règle 3-2-1, les types de sauvegarde, le RPO, le RTO, et les pièges les plus fréquents.
Une sauvegarde n'a de valeur que si elle est restaurable au moment où on en a besoin. Or, sans méthode, on découvre souvent les failles d'une stratégie de sauvegarde au pire moment possible : pendant une restauration d'urgence. Les pannes matérielles, le ransomware, les erreurs humaines (suppression accidentelle) et les sinistres physiques (incendie, dégât des eaux, vol) sont autant de scénarios qu'une bonne stratégie doit couvrir simultanément.
Le RAID protège contre la panne d'un disque. Il ne protège ni contre un ransomware qui chiffre vos fichiers, ni contre une suppression accidentelle, ni contre un sinistre qui détruit physiquement le serveur. C'est exactement le rôle de la sauvegarde.
La règle 3-2-1 est le standard de référence en matière de sauvegarde, simple à retenir et à appliquer :
Cette règle ne garantit pas une protection absolue, mais elle élimine la plupart des scénarios de perte totale en évitant qu'un seul point de défaillance (un disque, un site, un type de support) ne compromette toutes les copies à la fois.
Trois approches principales déterminent comment les données sont copiées dans le temps :
Copie intégrale de toutes les données à chaque exécution. La plus simple à restaurer (une seule copie à récupérer), mais la plus lourde en temps et en espace de stockage si elle est répétée trop fréquemment.
Ne copie que les données modifiées depuis la dernière sauvegarde (complète ou incrémentielle). Beaucoup plus rapide et légère au quotidien, mais la restauration nécessite de rejouer la dernière complète puis toutes les incrémentielles suivantes dans l'ordre — plus de complexité et un risque accru si l'une des incrémentielles intermédiaires est corrompue.
Ne copie que les données modifiées depuis la dernière sauvegarde complète (pas depuis la dernière différentielle). Chaque différentielle grossit donc au fil du cycle, mais la restauration ne nécessite que la dernière complète + la dernière différentielle, ce qui simplifie la restauration par rapport à l'incrémentielle.
| Type | Vitesse de sauvegarde | Espace requis | Complexité de restauration |
|---|---|---|---|
| Complète | Lente | Élevé | Simple |
| Incrémentielle | Rapide | Faible | Élevée (chaîne complète à rejouer) |
| Différentielle | Moyenne | Moyen | Modérée (complète + dernière différentielle) |
La rétention définit combien de versions de sauvegarde sont conservées dans le temps, et pendant combien de temps. Un schéma courant est la rotation GFS (Grandfather-Father-Son) : on conserve par exemple les 7 dernières sauvegardes journalières, les 4 dernières hebdomadaires, et les 12 dernières mensuelles — ce qui permet de remonter loin dans le temps sans pour autant garder une copie complète de chaque jour indéfiniment.
Plus la rétention est longue, plus l'espace de stockage nécessaire augmente — c'est exactement ce que le calculateur associé à ce guide permet d'estimer, projection de croissance des données incluse.
Le RPO répond à la question : "Combien de données peut-on se permettre de perdre ?" Il s'exprime en unité de temps et correspond, en pratique, à l'intervalle entre deux sauvegardes.
Si vous sauvegardez une fois par jour à minuit et qu'un incident survient à 18h, vous perdez toutes les modifications effectuées depuis minuit — soit un RPO réel de 18h dans le pire cas, même si l'objectif affiché était "24h".
Un RPO proche de zéro (perte quasi nulle tolérée) nécessite des mécanismes de réplication continue ou quasi continue, pas seulement des sauvegardes périodiques classiques — c'est nettement plus coûteux à mettre en œuvre.
Le RTO répond à une question différente : "Combien de temps peut-on tolérer avant que le système soit de nouveau opérationnel ?" Il couvre tout le délai de restauration : transfert des données depuis le support de sauvegarde, procédures de vérification, redémarrage des services, tests.
Le RTO dépend directement du débit de restauration disponible et du volume de données à restaurer — un gros volume sur un support de sauvegarde lent (bande magnétique, cloud à faible débit montant) peut transformer un incident mineur en interruption de service de plusieurs heures, voire plusieurs jours.
| Indicateur | Question à laquelle il répond |
|---|---|
| RPO | Combien de données récentes va-t-on perdre ? |
| RTO | Combien de temps avant le retour à la normale ? |
La fenêtre de sauvegarde est la période disponible pour exécuter une sauvegarde sans impacter la production (souvent la nuit, ou un créneau de maintenance planifié). Si le volume de données à sauvegarder dépasse ce que la bande passante disponible permet de transférer dans cette fenêtre, la sauvegarde déborde sur les heures de production — avec un risque de ralentissement, voire d'échec si elle est interrompue.
Le débit réel disponible est presque toujours inférieur au débit théorique annoncé d'un lien, à cause de la contention disque, du protocole utilisé, et du trafic concurrent. Prévoir une marge (généralement 60 à 80% du débit théorique) donne une estimation plus réaliste que de se fier au chiffre affiché sur la fiche technique du matériel.
Le cloud peut très bien constituer la copie "hors site" de la règle 3-2-1, mais il ne devrait généralement pas être l'unique copie : un incident côté fournisseur, une erreur de configuration, ou une coupure de connexion prolongée peuvent temporairement ou définitivement compromettre l'accès à cette copie.
Non — un RPO très bas a un coût (infrastructure de réplication, bande passante, complexité) qui n'est justifié que pour des données réellement critiques. Pour des données moins sensibles, un RPO de 24h avec une sauvegarde quotidienne classique est largement suffisant.
Cela dépend du volume de données et de la fenêtre disponible : hebdomadaire est un choix courant pour un bon compromis entre simplicité de restauration et charge de sauvegarde, complété par des incrémentielles ou différentielles quotidiennes.
Face à la montée du ransomware, certains recommandent une variante "3-2-1-1-0" : ajout d'une copie immuable ou hors ligne (air gap) qu'un ransomware ne peut pas atteindre ni chiffrer, et zéro erreur constatée lors des tests de restauration réguliers.