A propos des Coffres-forts

Kaspersky Endpoint Security permet de chiffrer les fichiers et les dossiers enregistrés sur les disques locaux de l'ordinateur et sur les disques amovibles, les disques amovibles et les disques durs en entier. Le chiffrement des données réduit le risque de fuites d'informations en cas de perte ou de vol d'un ordinateur portable, d'un disque amovible ou d'un disque dur ou en cas d'accès d'utilisateurs ou d'applications tierces à ces données.

Si la licence a expiré, l'application ne chiffre pas les nouvelles données et les anciennes données chiffrées restent chiffrées et accessibles. Dans ce cas, le chiffrement de nouvelles données requiert l'activation de l'application selon une nouvelle licence qui autorise l'utilisation du chiffrement.

En cas d'expiration de la licence, de violation des conditions du Contrat de licence Utilisateur final, de suppression de la clé ou de Kaspersky Endpoint Security ou de ses modules de chiffrement de l'ordinateur de l'utilisateur, il n'est pas garanti que les fichiers chiffrés antérieurement le resteront. Cela est dû au fait que certaines applications, comme Microsoft Office Word, créent une copie temporaire d'un fichier lorsque celui-ci est modifié, laquelle remplacera le fichier d'origine lors de son enregistrement. Par conséquent, en l'absence de la fonction de chiffrement sur l'ordinateur ou en cas d'indisponibilité de celle-ci, le fichier reste non chiffré.

Kaspersky Endpoint Security protège les données de la manière suivante :

• Chiffrement des fichiers sur les disques locaux de l'ordinateur. Vous pouvez former des listes à partir de fichiers selon l'extension ou selon les groupes d'extensions ou de dossiers situés sur les disques locaux de l'ordinateur. Vous pouvez aussi créer des règles de chiffrement de fichiers créés par des applications distinctes. Après l'application de la stratégie de Kaspersky Security Center l'application Kaspersky Endpoint Security chiffre et déchiffre les fichiers suivants :
  • les fichiers ajoutés séparément aux listes pour le chiffrement et le déchiffrement ;
  • les fichiers enregistrés dans les dossiers ajouté aux listes pour le chiffrement et le déchiffrement ;
  • les fichiers créés des applications distinctes.

  Pour en savoir plus sur l'application de stratégies de Kaspersky Security Center, consultez le Manuel de l'administrateur de Kaspersky Security Center.

• Chiffrement des disques amovibles. Vous pouvez indiquer la règle de chiffrement par défaut conformément à laquelle l'application exécute la même action sur tous les disques amovibles ou indiquer des règles de chiffrement pour des disques amovibles distincts.

  La priorité d'une règle de chiffrement par défaut est inférieure à celle d'une règle de chiffrement définie pour différents disques amovibles. La priorité des règles de chiffrement définies pour les disques amovibles du modèle de périphérique indiqué est inférieure à celle des règles de chiffrement définies pour les disques amovibles portant un identificateur de périphérique indiqué.

  Afin de sélectionner la règle de chiffrement des fichiers sur le disque amovible, Kaspersky Endpoint Security vérifie si le modèle du périphérique ou son identificateur sont connus. Ensuite, l'application réalise une des opérations suivantes :

  • Si le seul le modèle du périphérique est connu, l'application applique la règle de chiffrement définie pour les disques amovibles de ce modèle, si une telle règle existe.
  • Si seul l'identificateur du périphérique est connu, l'application utilise la règle de chiffrement définie pour les disques amovibles portant cet identificateur de périphérique, si une telle règle existe.
  • Si le modèle du périphérique et son identificateur sont connus, l'application utilise la règle de chiffrement définie pour les disques amovibles portant cet identificateur connu, si une telle règle existe. Si cette règle n'existe pas, mais qu'il existe une règle de chiffrement créée pour les disques amovibles de ce modèle de périphérique, l'application l'applique. Si aucune règle de chiffrement n'est définie pour aucun identificateur de périphérique, ni pour aucun modèle de périphérique, l'application adopte la règle de chiffrement par défaut.
  • Si le modèle et l'identificateur du périphérique sont inconnus, l'application utilise la règle de chiffrement par défaut.

  L'application permet de préparer le disque amovible pour travailler en mode portable avec les fichiers qui sont chiffrés sur ce dernier. Après l'activation du mode portable, l'utilisation des fichiers chiffrés devient accessible sur les disques amovibles connectés à l'ordinateur dont la fonction de chiffrement est inaccessible.

  L'application exécute l'action indiquée dans la règle de chiffrement lors de l'application de la stratégie de Kaspersky Security Center.

• Administration des règles d'accès des applications aux fichiers chiffrés. Vous pouvez créer pour n'importe quelle application une règle d'accès aux fichiers chiffrés qui interdira l'accès aux fichiers chiffrés ou qui l'autorisera uniquement sous la forme de texte chiffré, soit une séquence de caractères obtenues après l'application du chiffrement.
• Création d'archives chiffrées. Vous pouvez créer des archives chiffrées et les protéger par un mot de passe. Pour accéder au contenu de ces archives chiffrées, il faut saisir le mot de passe défini pour protéger l'accès à ces archives. Ces archives peuvent être envoyées en toute sécurité sur le réseau ou sur des disques amovibles.
• Chiffrement des disques durs. Vous pouvez choisir la technologie du chiffrement : Kaspersky Disk Encryption ou le Chiffrement de disque BitLocker (ci-après "BitLocker").

  BitLocker est une technologie qui fait partie du système d'exploitation Windows. Si l'ordinateur est équipé d'un module de plateforme sécurisée (TPM, Trusted Platform Module), BitLocker l'utilise pour conserver les clés de récupération qui permettent d'accéder au disque dur chiffré. Lors du chargement de l'ordinateur, BitLocker sollicite la clé de restauration du disque dur au module de plateforme sécurisée, puis débloque le disque. Vous pouvez configurer l'utilisation du mot de passe et/ou d'un code PIN pour accéder aux clés de restauration.

  Vous pouvez désigner une règle de chiffrement des disques durs par défaut et composer une liste de disques à exclure du chiffrement. Kaspersky Endpoint Security chiffre les disques durs secteur par secteur après l'application de la stratégie de Kaspersky Security Center. L'application chiffre toutes les sections logiques des disques durs à la fois. Pour en savoir plus sur l'application de stratégies de Kaspersky Security Center, consultez le Manuel de l'administrateur de Kaspersky Security Center.

  Une fois que les disques durs système auront été chiffrés, l'accès à ceux-ci et le chargement du système d'exploitation lors du prochain démarrage de l'ordinateur seront possibles uniquement après avoir suivi la procédure d'authentification à l'aide de l'Agent d'authentification. Pour ce faire, il faut saisir le mot de passe du token ou de la carte à puce connectés à l'ordinateur ou le nom et le mot de passe du compte utilisateur de l'Agent d'authentification créé par l'administrateur système du réseau local de l'organisation à l'aide des tâches d'administration des comptes utilisateur de l'Agent d'authentification. Ces comptes utilisateur reposent sur les comptes utilisateur Microsoft Windows utilisés pour accéder au système d'exploitation. Vous pouvez administrer les comptes de l'Agent d'authentification et utiliser la technologie (SSO, Single Sign-On) qui permet d'accéder automatiquement au système d'exploitation à l'aide du nom et du mot de passe du compte utilisateur de l'Agent d'Authentification.

  Interface qui permet de réaliser la procédure d'authentification pour accéder aux disques durs chiffrés et pour charger le système d'exploitation après le chiffrement du disque dur système.

  Si une copie sauvegarde a été créée pour l'ordinateur puis que les données de celui-ci ont été chiffrées et que la copie de sauvegarde de l'ordinateur a été restaurée et les données à nouveau chiffrées, Kaspersky Security crée des doubles des comptes de l'Agent d'authentification. Pour supprimer les doublons, utilisez l'utilitaire klmover avec l'argument dupfix. L'utilitaire klmover est fourni avec la distribution de Kaspersky Security Center. Pour en savoir plus sur son fonctionnement, lisez le Manuel de l'administrateur de Kaspersky Security Center.

  Lors de la mise à jour jusqu'à Kaspersky Endpoint Security 10 Service Pack 2 for Windows, la liste de comptes utilisateur de l'Agent d'authentification n'est pas conservée.

  Les disques durs chiffrés sont accessibles uniquement depuis des ordinateurs équipés de l'application Kaspersky Endpoint Security avec la fonction de chiffrement des disques durs. Cette condition réduit au minimum le risque de fuite d'informations stockées sur le disque dur chiffré en cas d'utilisation de ce disque en dehors du réseau local de l'organisation.

Pour le chiffrement des disques durs et amovibles, vous pouvez utiliser la fonction Chiffrer uniquement l'espace occupé. Il est conseillé d'utiliser cette fonction seulement pour les nouveaux périphériques qui n'ont jamais été utilisés. Si vous appliquez le chiffrement à un périphérique déjà utilisé, il est recommandé de chiffrer tout le périphérique. Cela garantit la protection de toutes les données, mêmes celles qui ont été supprimées mais dont les informations peuvent toujours être extraites.

Avant le chiffrement, Kaspersky Endpoint Security reçoit la carte des secteurs du système de fichiers. Lors du premier flux, ce sont les secteurs occupés par des fichiers au moment du lancement du chiffrement qui seront chiffrés. Dans le deuxième flux, les secteurs chiffrés sont les secteurs dans lesquels une écriture a eu lieu après le début du chiffrement. A la fin du chiffrement, tous les secteurs contenant des données sont chiffrés.

Si l'utilisateur, après le chiffrement, supprime un fichier, alors les secteurs dans lesquels se trouvait ce fichier deviennent disponibles pour d'autres écritures d'informations au niveau du système de fichiers, mais restent chiffrés. Ainsi, au fur et à mesure de l'enregistrement de fichiers sur un nouveau périphérique, en cas de lancement régulier du chiffrement avec la fonction activée Chiffrer uniquement l'espace occupé, tous les secteurs de l'ordinateur seront chiffrés après un certain temps.

Les données indispensables au déchiffrement des objets sont offertes par le Serveur d'administration Kaspersky Security Center qui gère l'ordinateur au moment du chiffrement. Si pour une raison quelconque l'ordinateur contenant les objets chiffrés est géré par un autre Serveur d'administration et que l'accès aux objets chiffrés n'a jamais été effectué, il est possible de résoudre la situation d'une des manières suivantes :

• demander l'accès aux objets chiffrés à l'administrateur du réseau local de l'organisation ;
• restaurer les données sur les périphériques chiffrés à l'aide de l'utilitaire de restauration ;
• restaurer la configuration du Serveur d'administration Kaspersky Security Center qui gérait l'ordinateur au moment du chiffrement à partir de la copie de sauvegarde. Utiliser cette configuration sur le Serveur d'administration qui gérait l'ordinateur avec les objets chiffrés.

L'application crée des fichiers de service pendant le chiffrement. Pour leur sauvegarde, deux-trois pour cents environ de l'espace libre non fragmenté sur le disque dur de l'ordinateur sont requis. S'il n'y a pas assez d'espace libre non fragmenté sur le disque dur, le chiffrement n'est pas lancé tant que cette condition n'est pas remplie.

La compatibilité entre la fonction de chiffrement Kaspersky Endpoint Security et Kaspersky Anti-Virus for UEFI n'est pas prise en charge. Le chiffrement des disques durs des ordinateurs sur lesquels Kaspersky Anti-Virus for UEFI est installé entraîne la mise hors service de Kaspersky Anti-Virus for UEFI.