BitLocker : pourquoi chaque portable de votre équipe doit avoir le chiffrement activé

Le risque concret d'un poste non chiffré

Sans chiffrement, n'importe qui qui met la main sur un portable peut accéder à tous les fichiers en moins de 5 minutes — en démarrant sur une clé USB live et en lisant le disque directement. Le mot de passe Windows ne protège pas contre ça : il protège l'accès à l'OS, pas aux données sur le disque.

En Belgique, l'APD (Autorité de protection des données) considère la perte d'un ordinateur portable sans chiffrement comme une violation de données personnelles soumise à notification. Pour les PME qui traitent des données clients ou de santé, les conséquences réglementaires s'ajoutent aux conséquences opérationnelles.

BitLocker : ce qui est inclus dans Windows

BitLocker est le système de chiffrement intégré à Windows. Il chiffre l'intégralité du disque avec AES (128 bits par défaut, configurable en 256 bits via Intune ou GPO). Une fois activé, il est totalement transparent pour l'utilisateur : aucun mot de passe supplémentaire à saisir au quotidien, aucun ralentissement perceptible sur les machines modernes.

BitLocker est disponible sur Windows 10/11 Pro et Enterprise. Les éditions Home ont une version allégée appelée "chiffrement de l'appareil", activée automatiquement si le matériel est compatible.

La clé de récupération : le point critique

BitLocker génère une clé de récupération à 48 chiffres lors de l'activation. Si l'utilisateur oublie son PIN ou si le matériel change (remplacement de carte mère), cette clé est la seule façon de récupérer les données. Il faut l'enregistrer quelque part de fiable.

La bonne pratique : sauvegarder la clé dans Entra ID (Azure AD). Elle y est stockée automatiquement lors du déploiement via Intune et accessible depuis le portail d'administration en cas de besoin.

Déploiement via Intune : activer sur tous les postes en 10 minutes

1. Dans Intune > Sécurité des points de terminaison > Chiffrement de disque
2. Créer une politique BitLocker
3. Activer "Chiffrement des lecteurs fixes BitLocker" et "Chiffrement du lecteur du système d'exploitation"
4. Configurer la sauvegarde des clés de récupération dans Entra ID
5. Assigner au groupe de tous vos postes Windows

Lors de la prochaine synchronisation Intune, les postes commencent à chiffrer leur disque en arrière-plan. L'opération prend 30 minutes à quelques heures selon la taille du disque, sans interruption pour l'utilisateur.

Ce que BitLocker ne protège pas

BitLocker protège les données au repos — quand le poste est éteint ou verrouillé. Il ne protège pas contre un malware qui s'exécute pendant que l'utilisateur est connecté, contre un mot de passe Windows compromis, ou contre une session laissée ouverte. C'est une couche parmi d'autres, indispensable pour les portables, et complémentaire du MFA et de l'antivirus.