← L’Héritage numérique
Technique 6 juin 2026 · 4 · par L'équipe SecretVault

Mettre en place un serveur de sauvegarde chiffré avec BorgBackup

Découvrez comment créer un serveur de sauvegarde fiable et chiffré grâce à BorgBackup, pour protéger vos données sensibles sans complexité.

Pourquoi choisir BorgBackup ?

BorgBackup (ou simplement Borg) est un outil de sauvegarde orienté vers la sécurité et l’efficacité. Il combine compression, déduplication et chiffrement fort, ce qui permet de réduire l’espace occupé tout en garantissant la confidentialité des archives. Son mode d’emploi en ligne de commande reste simple, même pour des utilisateurs soucieux de la confidentialité.

Installation du serveur

Sur une distribution Linux récente, l’installation se résume à quelques lignes :

# Mise à jour du système
sudo apt update && sudo apt upgrade -y
# Installation de Borg (les paquets peuvent varier selon la distribution)
sudo apt install -y borgbackup

Une fois installé, créez un compte dédié aux sauvegardes afin de limiter les droits d’accès :

sudo adduser --system --group --home /srv/borgbackup borg

Le répertoire /srv/borgbackup sera le point de montage du dépôt de sauvegarde.

Configuration du chiffrement

Borg utilise par défaut le chiffrement AES‑256 avec une clé dérivée d’une phrase de passe. Il est recommandé de stocker cette phrase de passe dans un gestionnaire de mots de passe fiable.

  1. Initialiser le dépôt :
sudo -u borg borg init --encryption=repokey /srv/borgbackup/mon_depot
  • repokey crée un fichier de clé dans le dépôt, pratique pour une utilisation personnelle.
  1. Vérifier l’état du dépôt :
sudo -u borg borg info /srv/borgbackup/mon_depot

L’affichage confirme que le chiffrement est actif.

Planification des sauvegardes automatisées

Utilisez cron ou systemd timers pour lancer les sauvegardes à intervalles réguliers. Voici un exemple de tâche cron exécutée chaque jour à 02 h 00 :

0 2 * * * borg serve --append-only --restrict-to-path /home/username \
    backup $(date +\%Y-\%m-\%d) /home/username
    --exclude /home/username/.cache \
    --exclude /home/username/Downloads \
    --compression lz4 \
    /srv/borgbackup/mon_depot

Ce script :

  • Lances la sauvegarde en mode append‑only pour empêcher toute suppression accidentelle.
  • Restreint l’accès aux chemins spécifiés, limitant ainsi les risques d’erreur.
  • Applique la compression lz4, rapide et efficace pour la plupart des documents.

Vérification, restauration et bonnes pratiques

Vérifier l’intégrité des archives

sudo -u borg borg check /srv/borgbackup/mon_depot

Cette commande analyse les métadonnées et signale d’éventuelles corruptions.

Restaurer un fichier ou un répertoire

sudo -u borg borg extract /srv/borgbackup/mon_depot::2024-03-15 /home/username/Documents/secret.docx

Le double‑point :: indique le nom de l’archive, suivi du chemin relatif à restaurer.

Points d’attention

  • Sauvegarde hors site : synchronisez le répertoire /srv/borgbackup vers un disque externe ou un service cloud compatible (ex. : rsync vers un serveur distant). Le chiffrement reste valide, même si le support est compromis.
  • Rotation des clés : changez la phrase de passe tous les deux à trois ans et ré‑initialisez le dépôt avec une nouvelle clé.
  • Journalisation : conservez les journaux de borg (/var/log/borg.log) afin de disposer d’une trace d’audit fiable.

Conclusion

En combinant la robustesse du chiffrement intégré de BorgBackup avec une configuration serveur minimale, vous obtenez une solution de sauvegarde qui répond aux exigences de confidentialité les plus strictes. La mise en place ne nécessite que quelques commandes, et la maintenance repose sur des pratiques éprouvées : rotations régulières, vérifications d’intégrité et stockage hors site. Ainsi, vos données restent protégées contre les pertes accidentelles, les vols et les accès non autorisés, tout en restant accessibles lorsque vous en avez besoin.

Envie d’aller plus loin avec SecretVault ?

Découvrir SecretVault