Bitlocker, une solution de chiffrement viable en entreprise
Fort de nombreuses fonctionnalités ajoutées au fil du temps depuis son lancement initial, le composant de chiffrement de Windows mérite largement l’attention des administrateurs systèmes.
Choisir comment protéger les données stockées sur les ordinateurs portables de ses collaborateurs – sensibles, confidentielles, ou personnelles – n’est pas forcément trivial, mais nécessaire, pour prémunir l’organisation en cas de perte ou de vol.
Et pour ce qui est des postes sous Windows, ce n'est pas parce Bitlocker apporte gratuitement des fonctions de chiffrement de disque complet qu'il ne s'agit pas d’une bonne option. Entre coûts cachés et vulnérabilités connues, cependant, il y a eu beaucoup de raisons pour lesquelles Bitlocker n’a pas toujours été vu comme un bon choix en entreprise – en particulier à l'époque de Windows Vista et des débuts de Windows 7. Des éditeurs tiers, tels que Symantec et WinMagic, n’ont d’ailleurs pas manqué de proposer des alternatives viables à Bitlocker.
Mais ça, c’était avant, et aujourd’hui, Bitlocker apparaît bien plus abouti.
Pourquoi le chiffrement complet du disque ?
Le risque induit par l’absence de chiffrement du disque d'ordinateurs portables et d'autres postes de travail physiquement vulnérables est quantifiable et indéniable. Des contrôles compensatoires, comme les systèmes de prévention des fuites de données (DLP) et les passerelles d’accès Cloud sécurisé (CASB) peuvent atténuer le risque. Les deux sont utiles, mais ne remplacent pas pour autant le chiffrement complet du disque : c’est la dernière ligne de défense lorsque tout le reste échoue sur les postes Windows.
Un certain nombre d'entreprises, grandes et petites, n'ont pas encore adopté le chiffrement complet des disques. C'est l'un des plus grands facilitateurs des atteintes à la protection des données et des problèmes qui les accompagnent.
Pourquoi Bitlocker ?
Compte tenu des améliorations apportées à Windows 8 et, plus récemment, à Windows 10, il n'y a aucune raison pour que les administrateurs n'envisagent pas le chiffrement complet du disque avec Bitlocker. Ce n'est évidemment pas parfait pour toutes les situations, mais cela peut être une option robuste pour les parcs Windows.
Les améliorations reçues par Bitlocker au fil du temps, éliminent de nombreux problèmes liés aux vulnérabilités exploitables et à l'absence d'administration centralisée.
Bitlocker permet ainsi désormais le contrôle du port DMA pour aider à prévenir l'attaque en démarrage à froid contre les disques chiffrés inutilisés de longue date. L’intégration avec Azure Active Directory (AD) permet aux administrateurs de chiffrer les clés de récupération pour les systèmes Windows 10 qui sont joints aux domaines Azure AD.
La prise en charge du chiffrement XTS-AES aide à prévenir les attaques par des textes chiffrés connus et aide les organisations qui cherchent à se conformer aux normes fédérales américaines de traitement de l'information.
Ces fonctionnalités sont intéressantes, mais c'est Microsoft Bitlocker Administration and Monitoring (MBAM), un pack d’administration de System Center Operations Manager (SCOM), qui fait peut-être le plus la différence. MBAM fournit aux administrateurs un outil centralisé pour configurer, administrer et appliquer les politiques de chiffrement. Il existe également de nombreuses stratégies de groupe et des cmdlets PowerShell que les administrateurs peuvent utiliser pour gérer les terminaux protégés par Bitlocker.