Chiffrement des données

Kaspersky Endpoint Security permet de chiffrer les fichiers et les dossiers enregistrés sur les disques locaux de l'ordinateur et sur les disques amovibles, les disques amovibles et les disques durs en entier. Le chiffrement des données réduit le risque de fuites d'informations en cas de perte ou de vol d'un ordinateur portable, d'un disque amovible ou d'un disque dur ou en cas d'accès d'utilisateurs ou d'applications tierces à ces données. Kaspersky Endpoint Security utilise l'algorithme de chiffrement AES (Advanced Encryption Standard).

Si la licence a expiré, l'application ne chiffre pas les nouvelles données et les anciennes données chiffrées restent chiffrées et accessibles. Dans ce cas, le chiffrement de nouvelles données requiert l'activation de l'application selon une nouvelle licence qui autorise l'utilisation du chiffrement.

En cas d'expiration de la licence, de violation des conditions du Contrat de licence Utilisateur final, de suppression de la clé de licence ou de Kaspersky Endpoint Security ou de ses modules de chiffrement de l'ordinateur de l'utilisateur, il n'est pas garanti que les fichiers chiffrés antérieurement le resteront. Cela s'explique par le fait que certaines applications, comme Microsoft Office Word, créent une copie temporaire des fichiers pendant leur modification. Lorsque le fichier d'origine est enregistré, la copie temporaire remplace le fichier d'origine. Par conséquent, en l'absence de la fonction de chiffrement sur l'ordinateur ou en cas d'indisponibilité de celle-ci, le fichier reste non chiffré.

Kaspersky Endpoint Security protège les données de la manière suivante :

• Chiffrement des fichiers sur les disques locaux de l'ordinateur. Vous pouvez former des listes à partir de fichiers selon l'extension ou selon les groupes d'extensions ou de dossiers situés sur les disques locaux de l'ordinateur. Vous pouvez aussi créer des règles de chiffrement de fichiers créés par des applications distinctes. Après l'application de la stratégie, l'application Kaspersky Endpoint Security chiffre et déchiffre les fichiers suivants :
  • les fichiers ajoutés séparément aux listes pour le chiffrement et le déchiffrement ;
  • les fichiers enregistrés dans les dossiers ajoutés aux listes pour le chiffrement et le déchiffrement ;
  • les fichiers créés des applications distinctes.
• Chiffrement des disques amovibles. Vous pouvez indiquer la règle de chiffrement par défaut conformément à laquelle l'application exécute la même action sur tous les disques amovibles ou indiquer des règles de chiffrement pour des disques amovibles distincts.

  La priorité d'une règle de chiffrement par défaut est inférieure à celle d'une règle de chiffrement définie pour différents disques amovibles. La priorité des règles de chiffrement définies pour les disques amovibles du modèle d'appareil indiqué est inférieure à celle des règles de chiffrement définies pour les disques amovibles portant un identificateur d'appareil indiqué.

  Afin de sélectionner la règle de chiffrement des fichiers sur le disque amovible, Kaspersky Endpoint Security vérifie si le modèle de l'appareil ou son identificateur sont connus. Ensuite, l'application réalise une des opérations suivantes :

  • Si le seul le modèle de l'appareil est connu, l'application applique la règle de chiffrement définie pour les disques amovibles de ce modèle, si une telle règle existe.
  • Si seul l'identificateur de l'appareil est connu, l'application utilise la règle de chiffrement définie pour les disques amovibles portant cet identificateur d'appareil, si une telle règle existe.
  • Si le modèle de l'appareil et son identificateur sont connus, l'application utilise la règle de chiffrement définie pour les disques amovibles portant cet identificateur connu, si une telle règle existe. Si cette règle n'existe pas, mais qu'il existe une règle de chiffrement créée pour les disques amovibles de ce modèle d'appareil, l'application l'applique. Si aucune règle de chiffrement n'est définie pour aucun identificateur d'appareil, ni pour aucun modèle d'appareil, l'application adopte la règle de chiffrement par défaut.
  • Si le modèle et l'identificateur de l'appareil sont inconnus, l'application utilise la règle de chiffrement par défaut.

  L'application permet de préparer le disque amovible pour travailler en mode portable avec les fichiers qui sont chiffrés sur ce dernier. Après l'activation du mode portable, l'utilisation des fichiers chiffrés devient accessible sur les disques amovibles connectés à l'ordinateur dont la fonction de chiffrement est inaccessible.

• Administration des règles d'accès des applications aux fichiers chiffrés. Vous pouvez créer pour n'importe quelle application une règle d'accès aux fichiers chiffrés qui interdira l'accès aux fichiers chiffrés ou qui l'autorisera uniquement sous la forme de texte chiffré, soit une séquence de caractères obtenues après l'application du chiffrement.
• Création d'archives chiffrées. Vous pouvez créer des archives chiffrées et les protéger par un mot de passe. Pour accéder au contenu de ces archives chiffrées, il faut saisir le mot de passe défini pour protéger l'accès à ces archives. Ces archives peuvent être envoyées en toute sécurité sur le réseau ou sur des disques amovibles.
• Chiffrement du disque. Vous pouvez choisir la technologie du chiffrement : Kaspersky Disk Encryption ou le Chiffrement de disque BitLocker (ci-après "BitLocker").

  BitLocker est une technologie qui fait partie du système d'exploitation Windows. Si l'ordinateur est équipé d'un module Trusted Platform Module, BitLocker l'utilise pour conserver les clés de récupération qui permettent d'accéder au disque dur chiffré. Lors du chargement de l'ordinateur, BitLocker sollicite la clé de récupération du disque dur au module de plateforme sécurisée, puis débloque le disque. Vous pouvez configurer l'utilisation du mot de passe et/ou d'un code PIN pour accéder aux clés de restauration.

  Vous pouvez désigner une règle de chiffrement du disque par défaut et composer une liste de disques à exclure du chiffrement. Kaspersky Endpoint Security chiffre le disque secteur par secteur après l'application de la stratégie de Kaspersky Security Center. L'application chiffre toutes les sections logiques des disques durs à la fois.

  Une fois que les disques durs système auront été chiffrés, l'accès à ceux-ci et le chargement du système d'exploitation lors du prochain démarrage de l'ordinateur seront possibles uniquement après avoir suivi la procédure d'authentification à l'aide de l'Agent d'authentification. Pour ce faire, il faut saisir le mot de passe du token ou de la carte à puce connecté à l'ordinateur, ou le nom et le mot de passe du compte utilisateur de l'Agent d'authentification créé par l'administrateur système du réseau local de l'organisation à l'aide de la tâche Administrer les comptes de l'Agent d'authentification. Ces comptes utilisateur reposent sur les comptes utilisateur Microsoft Windows utilisés pour accéder au système d'exploitation. Vous pouvez également utiliser la technologie d'authentification unique (SSO, Single Sign-On) qui permet d'accéder automatiquement au système d'exploitation à l'aide du nom et du mot de passe du compte utilisateur de l'Agent d'Authentification.

  Interface permettant après le chiffrement du secteur d'amorçage du disque de réaliser la procédure d'authentification pour accéder aux disques durs chiffrés et pour charger le système d'exploitation.

  Si une copie sauvegarde a été créée pour l'ordinateur puis que les données de celui-ci ont été chiffrées et que la copie de sauvegarde de l'ordinateur a été restaurée et les données à nouveau chiffrées, Kaspersky Security crée des doubles des comptes de l'Agent d'authentification. Pour supprimer les doublons, utilisez l'utilitaire klmover avec l'argument dupfix. L'utilitaire klmover est fourni avec la distribution de Kaspersky Security Center. Pour en savoir plus sur son fonctionnement, lisez l'aide de Kaspersky Security Center.

  Les disques durs chiffrés sont accessibles uniquement depuis des ordinateurs équipés de l'application Kaspersky Endpoint Security avec la fonction de chiffrement du disque. Cette condition réduit au minimum le risque de fuite d'informations stockées sur le disque dur chiffré en cas d'utilisation de ce disque en dehors du réseau local de l'organisation.

Pour le chiffrement des disques durs et amovibles, vous pouvez utiliser la fonction Chiffrer uniquement l'espace occupé. Il est conseillé d'utiliser cette fonction seulement pour les nouveaux appareils qui n'ont jamais été utilisés. Si vous appliquez le chiffrement à un appareil déjà utilisé, il est recommandé de chiffrer tout l'appareil. Cela garantit la protection de toutes les données, mêmes celles qui ont été supprimées mais dont les informations peuvent toujours être extraites.

Avant le chiffrement, Kaspersky Endpoint Security reçoit la carte des secteurs du système de fichiers. Lors du premier flux, ce sont les secteurs occupés par des fichiers au moment du lancement du chiffrement qui seront chiffrés. Dans le deuxième flux, les secteurs chiffrés sont les secteurs dans lesquels une écriture a eu lieu après le début du chiffrement. А̀ la fin du chiffrement, tous les secteurs contenant des données sont chiffrés.

Si l'utilisateur, après le chiffrement, supprime un fichier, alors les secteurs dans lesquels se trouvait ce fichier deviennent disponibles pour d'autres écritures d'informations au niveau du système de fichiers, mais restent chiffrés. Ainsi, au fur et à mesure de l'enregistrement de fichiers sur un nouvel appareil, en cas de lancement régulier du chiffrement avec la fonction activée Chiffrer uniquement l'espace occupé, tous les secteurs de l'ordinateur seront chiffrés après un certain temps.

Les données indispensables au déchiffrement des objets sont offertes par le Serveur d'administration de Kaspersky Security Center qui gère l'ordinateur au moment du chiffrement. Si, pour une raison quelconque, un ordinateur avec des objets chiffrés se retrouve sous le contrôle d'un autre Serveur d'administration, vous pourrez accéder aux données chiffrées de l'une des manières suivantes :

• Serveurs d'administration dans une hiérarchie :
  • Il n'est pas nécessaire de prendre d'autres mesures. L'utilisateur aura toujours accès aux objets chiffrés. Les clés de chiffrement s'appliquent à tous les Serveurs d'administration.
• Les serveurs d'administration sont dispersés :
  • Demander l'accès aux objets chiffrés à l'administrateur du réseau local de l'organisation.
  • Restaurer les données sur les appareils chiffrés à l'aide de l'utilitaire de restauration.
  • Restaurer la configuration du Serveur d'administration de Kaspersky Security Center qui gérait l'ordinateur au moment du chiffrement à partir de la copie de sauvegarde. Utiliser cette configuration sur le Serveur d'administration qui gérait l'ordinateur avec les objets chiffrés.

En l'absence d'accès aux données chiffrées, suivez les instructions spéciales sur l'utilisation des données chiffrées (Restauration de l'accès aux données chiffrées, Utilisation des appareils chiffrés en l'absence d'accès à ceux-ci).

Dans cette section Restrictions de la fonction de chiffrement Modification de la longueur de la clé de chiffrement (AES56/AES256) Kaspersky Disk Encryption Administration BitLocker Chiffrement des fichiers sur les disques locaux de l'ordinateur Chiffrement des disques amovibles Consultation des informations relatives au chiffrement des données Utilisation des appareils chiffrés en l'absence d'accès à ceux-ci.

Haut de page