Pourquoi BitLocker est non négociable
Un ordinateur portable volé sans BitLocker équivaut à donner toutes ses données. L'attaquant :
- Démonte le disque dur en 5 minutes.
- Le branche sur un autre PC en USB.
- Lit tous les fichiers, indépendamment du mot de passe Windows.
Avec BitLocker activé : le disque est chiffré en AES-128 ou AES-256. Sans la clé, c'est juste du bruit cryptographique illisible. Le vol devient un problème de matériel à racheter, pas un incident RGPD à notifier à la CNIL.
Les conditions matérielles
BitLocker fonctionne pleinement avec :
- Windows 10/11 Pro (pas la version Famille).
- TPM 2.0 : une puce de sécurité matérielle présente sur tout PC professionnel acheté depuis 2018.
- Secure Boot activé dans le BIOS/UEFI.
Si vous avez Windows 11, le TPM 2.0 est obligatoire — donc déjà présent. Pour Windows 10 sur du matériel ancien, vérifier dans tpm.msc.
Activation simple sur un poste isolé
- Panneau de configuration → Système et sécurité → Chiffrement de lecteur BitLocker.
- Activer BitLocker sur C: et sur les autres lecteurs.
- Choisir « Mot de passe » ou TPM : avec TPM 2.0 + Secure Boot, le poste démarre normalement sans demander de mot de passe au démarrage. Le chiffrement est transparent.
- Sauvegarder la clé de récupération : c'est l'étape critique. Si Windows ne démarre plus correctement, c'est cette clé qui permet de récupérer le disque.
- Choisir le mode : chiffrer tout le disque (recommandé pour un poste existant) ou seulement l'espace utilisé (plus rapide pour un poste neuf).
- Lancer le chiffrement. Durée typique : 30 minutes à 4 heures selon la taille du disque.
La gestion des clés de récupération : ne JAMAIS la négliger
La clé de récupération est ce qui sauve vos données quand BitLocker se bloque (mise à jour ratée, changement de matériel, mot de passe oublié). Sans elle, vous perdez tout. Quatre options de stockage :
- Microsoft Entra ID (Azure AD) ou Active Directory : la clé est stockée automatiquement dans l'annuaire. C'est le bon choix pour une PME structurée.
- Compte Microsoft personnel : pour un poste personnel, la clé va dans account.microsoft.com.
- Fichier USB : à éviter en pratique (la clé USB est toujours perdue le jour où on en a besoin).
- Imprimée : à conserver dans un coffre-fort physique. Acceptable pour un poste isolé, pas scalable.
Erreur classique en PME : activer BitLocker, ne pas sauvegarder la clé proprement, et perdre l'accès au poste 6 mois plus tard.
Déploiement en parc PME
Pour 5+ postes, gérer BitLocker à la main devient ingérable. Trois approches scalables :
Microsoft Intune (Microsoft 365 Business Premium ou plus)
Politique BitLocker centralisée, déployée à tous les postes inscrits dans Intune. Les clés de récupération sont stockées dans Microsoft Entra. Tableau de bord unique. C'est la solution préférée en PME M365.
GPO Active Directory + script
Pour les PME avec un AD on-premise sans Intune. GPO BitLocker + script PowerShell qui active et stocke la clé dans AD. Plus de configuration, mais gratuit.
MBAM (en fin de vie)
Microsoft BitLocker Administration and Monitoring. Anciennement la solution officielle, désormais en fin de support. À éviter pour de nouveaux déploiements.
Cas d'usage particuliers
Postes Windows Famille
BitLocker n'est pas inclus. Alternative gratuite : VeraCrypt, open source, audité, supporté multi-OS. Plus complexe à gérer en parc, mais valable pour 1-3 postes.
Disques USB et SSD externes
BitLocker To Go chiffre aussi les disques amovibles. Politique recommandée en PME : tout disque USB connecté à un poste pro est obligatoirement chiffré. Sinon, blocage en lecture seule.
Mac et Linux
FileVault sur macOS (équivalent BitLocker, à activer dans Préférences Système → Confidentialité & Sécurité). LUKS sur Linux Ubuntu/Debian (à activer à l'installation).
À retenir
Ce que Scryptoura fait pour vous
Le Diagnostic Découverte vérifie systématiquement l'état de chiffrement des postes. Notre offre Infrastructure & Systèmes couvre le déploiement BitLocker via Intune ou GPO et la mise en place du stockage centralisé des clés.