Publicité en cours de chargement...

Publicité en cours de chargement...

Chiffrer ses postes clients Windows avec BitLocker en connaissance de cause

06 nov. 2018 - 08:10,
Tribune - Charles Blanc-Rolin
Pour préserver la confidentialité et éviter toute violation de données à caractère personnel, à plus forte raison lorsqu’il s’agit de données aussi sensibles que les données de santé manipulées au quotidien par nos utilisateurs, le recours au chiffrement peut s’avérer nécessaire, comme le souligne à plusieurs reprises le RGPD.

Chiffrer les disques des postes nomades (en particulier) de nos parcs pour assurer la confidentialité de « nos » données de santé, ou plutôt, pour être plus précis, celles de nos patients, est donc une excellente idée. Pour satisfaire ce besoin sans exploser le (toujours trop) maigre budget attribué à la SSI (oui, le RSSI se plaint souvent de n’en avoir jamais assez), pourquoi ne pas utiliser BitLocker, l’outil de chiffrement intégré aux systèmes d’exploitation Windows (depuis Vista), vu que nous le payons déjà dans le prix de nos licences ou accords-cadres ?

Alors que tous les autres systèmes d’exploitation, macOS et les différentes distributions basées sur le noyau Linux, Android ou encore iOS, proposent nativement un chiffrement logiciel, Microsoft, avec sa fâcheuse manie de toujours vouloir placer le volant de la voiture à l’inverse des autres, utilise automatiquement le chiffrement matériel du disque dur par défaut, si celui-ci le propose.
Certains le justifieront en prétendant : « Utiliser le chiffrement matériel augmente la sécurité et les performances. Puisque le chiffrement n’est plus géré par la machine hôte et que la clé de chiffrement n’est pas stockée dans la mémoire vive, c’est bien mieux ! »

En réalité, en utilisant le chiffrement matériel, on ne fait que déplacer la matrice des risques, voire augmenter le risque dans le cas des périphériques externes. Placer l’intelligence dans le disque revient à donner une confiance absolue au matériel. En cas de découverte de vulnérabilités, gérer les mises à jour logicielles via le système d’exploitation s’avère beaucoup plus simple que flasher les firmwares des périphériques de stockage.

L’utilisation du chiffrement matériel n’est peut-être donc pas une si bonne idée, comme le démontre un récent rapport [1] : les chercheurs de l’université néerlandaise Radboud exposent comment ils ont réussi à contourner le chiffrement matériel et à accéder aux données sans clé de déchiffrement sur sept modèles différents de SSD du marché en modifiant le firmware ou en utilisant l’interface de débogage.
Alors, pour pallier ce problème, il est possible, via une GPO, de spécifier à l’ensemble de ses postes de ne pas utiliser le chiffrement matériel. Il suffit pour ce faire de désactiver la stratégie « Configurer l’utilisation du chiffrement au niveau matériel »pour chacun des trois types de lecteurs proposés :

gpo_desactiver_chiffrement_materiel_bitlocker

Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker

Même si rien ne vous empêche de flasher l’ensemble de vos SSD à chaque nouvelle vulnérabilité, l’utilisation du chiffrement logiciel me paraît nettement plus facile à gérer et, par conséquent, un peu plus rassurant. À noter également qu’il est possible d’améliorer le niveau de chiffrement BitLocker en sélectionnant la méthode AES 256 plutôt que le procédé AES 128 proposé par défaut.


[1] https://www.ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/radboud-university-researchers-discover-security/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.