Kaspersky Endpoint Security permet de chiffrer les fichiers et les dossiers enregistrés sur les disques locaux de l'ordinateur et sur les disques amovibles, les disques amovibles et les disques durs en entier. Le chiffrement des données réduit le risque de fuites d'informations en cas de perte ou de vol d'un ordinateur portable, d'un disque amovible ou d'un disque dur ou en cas d'accès d'utilisateurs ou d'applications tierces à ces données. Kaspersky Endpoint Security utilise l'algorithme de chiffrement AES (Advanced Encryption Standard).
Si la licence a expiré, l'application ne chiffre pas les nouvelles données et les anciennes données chiffrées restent chiffrées et accessibles. Dans ce cas, le chiffrement de nouvelles données requiert l'activation de l'application selon une nouvelle licence qui autorise l'utilisation du chiffrement.
En cas d'expiration de la licence, de violation des conditions du Contrat de licence Utilisateur final, de suppression de la clé de licence ou de Kaspersky Endpoint Security ou de ses modules de chiffrement de l'ordinateur de l'utilisateur, il n'est pas garanti que les fichiers chiffrés antérieurement le resteront. Cela s'explique par le fait que certaines applications, comme Microsoft Office Word, créent une copie temporaire des fichiers pendant leur modification. Lorsque le fichier d'origine est enregistré, la copie temporaire remplace le fichier d'origine. Par conséquent, en l'absence de la fonction de chiffrement sur l'ordinateur ou en cas d'indisponibilité de celle-ci, le fichier reste non chiffré.
Kaspersky Endpoint Security protège les données de la manière suivante :
La priorité d'une règle de chiffrement par défaut est inférieure à celle d'une règle de chiffrement définie pour différents disques amovibles. La priorité des règles de chiffrement définies pour les disques amovibles du modèle d'appareil indiqué est inférieure à celle des règles de chiffrement définies pour les disques amovibles portant un identificateur d'appareil indiqué.
Afin de sélectionner la règle de chiffrement des fichiers sur le disque amovible, Kaspersky Endpoint Security vérifie si le modèle de l'appareil ou son identificateur sont connus. Ensuite, l'application réalise une des opérations suivantes :
L'application permet de préparer le disque amovible pour travailler en mode portable avec les fichiers qui sont chiffrés sur ce dernier. Après l'activation du mode portable, l'utilisation des fichiers chiffrés devient accessible sur les disques amovibles connectés à l'ordinateur dont la fonction de chiffrement est inaccessible.
BitLocker est une technologie qui fait partie du système d'exploitation Windows. Si l'ordinateur est équipé d'un module Trusted Platform Module, BitLocker l'utilise pour conserver les clés de récupération qui permettent d'accéder au disque dur chiffré. Lors du chargement de l'ordinateur, BitLocker sollicite la clé de récupération du disque dur au module de plateforme sécurisée, puis débloque le disque. Vous pouvez configurer l'utilisation du mot de passe et/ou d'un code PIN pour accéder aux clés de restauration.
Vous pouvez désigner une règle de chiffrement du disque par défaut et composer une liste de disques à exclure du chiffrement. Kaspersky Endpoint Security chiffre le disque secteur par secteur après l'application de la stratégie de Kaspersky Security Center. L'application chiffre toutes les sections logiques des disques durs à la fois.
Une fois que les disques durs système auront été chiffrés, l'accès à ceux-ci et le chargement du système d'exploitation lors du prochain démarrage de l'ordinateur seront possibles uniquement après avoir suivi la procédure d'authentification à l'aide de l'Agent d'authentification. Pour ce faire, il faut saisir le mot de passe du token ou de la carte à puce connecté à l'ordinateur, ou le nom et le mot de passe du compte utilisateur de l'Agent d'authentification créé par l'administrateur système du réseau local de l'organisation à l'aide de la tâche Administrer les comptes de l'Agent d'authentification. Ces comptes utilisateur reposent sur les comptes utilisateur Microsoft Windows utilisés pour accéder au système d'exploitation. Vous pouvez également utiliser la technologie d'authentification unique (SSO, Single Sign-On) qui permet d'accéder automatiquement au système d'exploitation à l'aide du nom et du mot de passe du compte utilisateur de l'Agent d'Authentification.
Si une copie sauvegarde a été créée pour l'ordinateur puis que les données de celui-ci ont été chiffrées et que la copie de sauvegarde de l'ordinateur a été restaurée et les données à nouveau chiffrées, Kaspersky Endpoint Security crée des doubles des comptes de l'Agent d'authentification. Pour supprimer les doublons, utilisez l'utilitaire klmover avec l'argument dupfix
. L'utilitaire klmover est fourni avec la distribution de Kaspersky Security Center. Pour en savoir plus sur son fonctionnement, lisez l'aide de Kaspersky Security Center.
Les disques durs chiffrés sont accessibles uniquement depuis des ordinateurs équipés de l'application Kaspersky Endpoint Security avec la fonction de chiffrement du disque. Cette condition réduit au minimum le risque de fuite d'informations stockées sur le disque dur chiffré en cas d'utilisation de ce disque en dehors du réseau local de l'organisation.
Pour le chiffrement des disques durs et amovibles, vous pouvez utiliser la fonction Chiffrer uniquement l'espace occupé. Il est conseillé d'utiliser cette fonction seulement pour les nouveaux appareils qui n'ont jamais été utilisés. Si vous appliquez le chiffrement à un appareil déjà utilisé, il est recommandé de chiffrer tout l'appareil. Cela garantit la protection de toutes les données, mêmes celles qui ont été supprimées mais dont les informations peuvent toujours être extraites.
Avant le chiffrement, Kaspersky Endpoint Security reçoit la carte des secteurs du système de fichiers. Lors du premier flux, ce sont les secteurs occupés par des fichiers au moment du lancement du chiffrement qui seront chiffrés. Dans le deuxième flux, les secteurs chiffrés sont les secteurs dans lesquels une écriture a eu lieu après le début du chiffrement. А̀ la fin du chiffrement, tous les secteurs contenant des données sont chiffrés.
Si l'utilisateur, après le chiffrement, supprime un fichier, alors les secteurs dans lesquels se trouvait ce fichier deviennent disponibles pour d'autres écritures d'informations au niveau du système de fichiers, mais restent chiffrés. Ainsi, au fur et à mesure de l'enregistrement de fichiers sur un nouvel appareil, en cas de lancement régulier du chiffrement avec la fonction Chiffrer uniquement l'espace occupé activée, tous les secteurs de l'ordinateur seront chiffrés après un certain temps.
Les données indispensables au déchiffrement des objets sont offertes par le Serveur d'administration de Kaspersky Security Center qui gère l'ordinateur au moment du chiffrement. Si, pour une raison quelconque, un ordinateur avec des objets chiffrés se retrouve sous le contrôle d'un autre Serveur d'administration, vous pourrez accéder aux données chiffrées de l'une des manières suivantes :
En l'absence d'accès aux données chiffrées, suivez les instructions spéciales sur l'utilisation des données chiffrées (Restauration de l'accès aux données chiffrées, Utilisation des appareils chiffrés en l'absence d'accès à ceux-ci).