Retour à la documentation
Guide sécuritéMulti-plateformes

Chiffrement des Appareils

Protégez les données stockées sur vos appareils grâce au chiffrement. En cas de perte ou vol, les données restent inaccessibles.

Android, iOS, Windows, macOSConformité RGPD

Pourquoi le chiffrement est essentiel

Le chiffrement protège les données même si un attaquant a un accès physique à l'appareil. C'est une exigence de conformité pour de nombreuses réglementations (RGPD, HIPAA, PCI-DSS) et une protection indispensable contre le vol de données.

Types de chiffrement

Chiffrement complet du disque

Chiffre l'intégralité du stockage. Toutes les données sont protégées, y compris le système d'exploitation.

BitLocker (Windows), FileVault (macOS), FBE (Android)

Chiffrement basé sur les fichiers

Chiffre chaque fichier individuellement avec une clé différente. Permet un contrôle plus granulaire.

Android File-Based Encryption, iOS Data Protection

Chiffrement matériel

Utilise une puce dédiée (TPM, Secure Enclave) pour stocker les clés de chiffrement de manière sécurisée.

TPM (Windows), Secure Enclave (Apple), StrongBox (Android)

Chiffrement des cartes SD

Chiffrement du stockage externe (cartes SD). Spécifique à Android pour protéger les données sur carte amovible.

1

Chiffrement Android

État du chiffrement Android

Depuis Android 10, le chiffrement est activé par défaut et ne peut pas être désactivé. Pour les versions antérieures, vous pouvez forcer le chiffrement via MDM.

Vérifier et forcer le chiffrement

  1. 1.1

    Créez une politique de sécurité

    Profiles > Create Profile > Android > Security Policy

  2. 1.2

    Activez les exigences de chiffrement

    • Require Encryption : Exiger le chiffrement du stockage
    • Require Encrypted Storage : Exiger le chiffrement de la carte SD
  3. 1.3

    Vérifiez l'état dans la console

    Device Details > Security > Encryption Status

Work Profile Encryption

Sur les appareils avec Work Profile (BYOD), le conteneur professionnel est chiffré séparément avec une clé dérivée du code du Work Profile.

2

Chiffrement iOS/iPadOS

Data Protection (Chiffrement natif)

Tous les appareils iOS sont chiffrés par défaut avec Data Protection. Le chiffrement est lié au code de l'appareil et géré par le Secure Enclave.

Classes de protection des données

  • Complete Protection : Données accessibles uniquement quand l'appareil est déverrouillé
  • Protected Unless Open : Fichiers ouverts restent accessibles même verrouillé
  • Protected Until First Auth : Accessible après le premier déverrouillage au démarrage
  • No Protection : Toujours accessible (fichiers système)

Vérification via MDM

  1. 2.1

    Exiger un code

    Le chiffrement iOS nécessite un code. Sans code, le chiffrement est moins efficace.

  2. 2.2

    Vérifiez l'état de sécurité

    Device Details > Security Info > Data Protection Enabled

Secure Enclave

Les appareils iOS modernes utilisent le Secure Enclave, une puce dédiée qui gère les clés de chiffrement indépendamment du processeur principal. Les clés ne quittent jamais le Secure Enclave.

3

Chiffrement Windows (BitLocker)

Configuration BitLocker via MDM

  1. 3.1

    Créez un profil BitLocker

    Profiles > Create Profile > Windows > Endpoint Protection > BitLocker

  2. 3.2

    Configurez le chiffrement du disque système

    • • Require Encryption : Exiger BitLocker
    • • Encryption Method : XTS-AES 256 bits (recommandé)
    • • Startup Authentication : TPM + PIN ou TPM seul
  3. 3.3

    Configurez le chiffrement des lecteurs amovibles

    • • Encrypt Removable Drives : Chiffrer clés USB et disques externes
    • • Block Write Access : Bloquer l'écriture sur lecteurs non chiffrés
  4. 3.4

    Gestion des clés de récupération

    • • Store Recovery Key : Sauvegarder la clé dans Azure AD ou AD
    • • Rotate Recovery Keys : Rotation automatique après utilisation

Prérequis TPM

BitLocker fonctionne mieux avec une puce TPM 2.0. Sans TPM, l'utilisateur devra saisir un mot de passe à chaque démarrage.

4

Chiffrement macOS (FileVault)

Configuration FileVault via MDM

  1. 4.1

    Créez un profil FileVault

    Profiles > Create Profile > macOS > FileVault

  2. 4.2

    Options de configuration

    • • Enable FileVault : Activer FileVault 2
    • • Defer : Reporter l'activation jusqu'à la prochaine déconnexion
    • • Show Recovery Key : Afficher ou masquer la clé à l'utilisateur
  3. 4.3

    Escrow de la clé de récupération

    Configurez l'escrow pour sauvegarder automatiquement la clé de récupération dans la console MDM. Essentiel pour la récupération en cas d'oubli du mot de passe.

Apple Silicon

Sur les Mac avec puce Apple Silicon (M1/M2/M3), le chiffrement matériel est toujours actif. FileVault ajoute une couche de protection supplémentaire liée au mot de passe utilisateur.

Vérification et conformité

Rapport de conformité chiffrement

  1. 1

    Créez une politique de conformité

    Compliance > Create Policy > Device Encryption Required

  2. 2

    Définissez les actions de non-conformité

    • • Notifier l'utilisateur et l'administrateur
    • • Bloquer l'accès aux ressources (Conditional Access)
    • • Marquer l'appareil comme non conforme
  3. 3

    Générez des rapports

    Reports > Security > Encryption Status pour auditer l'état de chiffrement de tous les appareils.

Bonnes pratiques

Sauvegardez les clés de récupération

Configurez toujours l'escrow des clés de récupération. Sans elles, un appareil peut devenir inaccessible en cas d'oubli du mot de passe.

Exigez un mot de passe fort

Le chiffrement est aussi fort que le mot de passe qui le protège. Combinez toujours chiffrement et politique de mot de passe robuste.

Utilisez le chiffrement matériel

Privilégiez les appareils avec TPM (Windows), Secure Enclave (Apple), ou StrongBox (Android) pour une protection optimale des clés.

Chiffrez aussi les supports amovibles

N'oubliez pas les cartes SD (Android) et clés USB (Windows). Configurez des politiques pour bloquer les supports non chiffrés.