Chiffrement : Chiffrement d’appareils

Le chiffrement des appareils vous permet d’administrer le Chiffrement de lecteur BitLocker sur les ordinateurs Windows et de FileVault sur les Macs. Le chiffrement de disques durs maintient les données en sécurité même en cas de perte ou de vol de votre appareil.

Veuillez configurer le chiffrement comme indiqué ci-dessous :

  1. L’agent de Chiffrement des fichiers est installé automatiquement sur les ordinateurs Windows lorsque vous utilisez le programme d’installation standard de l’agent Windows (si vous avez la licence requise). Vous devez installer manuellement l’agent de Chiffrement des fichiers sur les Macs.
  2. Modifiez une stratégie de base Device Encryption et appliquez-la aux utilisateurs comme décrit ci-dessous.
  3. Les ordinateurs sont chiffrés dès que leurs utilisateurs se connectent.
    Remarque : Le chiffrement FileVault est basé sur les utilisateurs et il doit être activé sur les terminaux de tous les utilisateurs.

Retrouvez plus de renseignements sur la manière dont sont chiffrés les ordinateurs dans le Guide d’administration de Sophos Central Device Encryption.

Remarque : Vous pouvez appliquer le chiffrement des appareils aux volumes de démarrage et aux volumes de données fixes mais pas aux supports amovibles.

Pour créer une stratégie :

  • Modifiez une stratégie de base Device Encryption.
  • Ouvrez l’onglet Paramètres de la stratégie et configurez les options comme décrit ci-dessous.

Paramètres

Chiffrement d’appareils activé/désactivé : Un ordinateur est chiffré dès la connexion des utilisateurs auxquels la stratégie s’applique.

Un terminal Windows demeure chiffré même si un utilisateur différent qui n’est pas inclus dans la stratégie se connecte.

Avertissement : Veuillez appliquer une stratégie de chiffrement à tous les utilisateurs d’un terminal macOS spécifique afin de vous assurer qu’il est entièrement protégé.

Chiffrer uniquement le volume de démarrage : Cette option vous permet de chiffrer uniquement le volume de démarrage. Les volumes de données sont ignorés.

Paramètres Windows avancés

Demander l’authentification au démarrage : Cette option est activée par défaut. Elle applique l’authentification par TPM+PIN, phrase secrète ou clé USB. Si vous la désactivez, la protection par « connexion TPM uniquement » est installée sur les ordinateurs compatibles. Retrouvez plus de renseignements sur les méthodes d’authentification dans le Manuel d’administration de Sophos Central Device Encryption.

Demander un nouveau mot de passe/code confidentiel d’authentification aux utilisateurs : Cette option est désactivée par défaut. Elle force un changement du mot de passe ou du code confidentiel BitLocker à une période de temps spécifique. Un événement est consigné dans le journal lorsque les utilisateurs changent leur mot de passe ou leur code confidentiel.

Remarque : Sur le terminal, la fonction est uniquement disponible à partir de la version 2.0 de Sophos Central Device Encryption.

Si les utilisateurs ferment la boîte de dialogue sans saisir un mot de passe ou un code confidentiel, cette boîte de dialogue réapparait après 30 secondes, jusqu’à ce qu’ils en saisissent un nouveau. Lorsque les utilisateurs ont fermé la boîte de dialogue 5 fois successivement sans changer de mot de passe ou de code confidentiel, une alerte est consignée dans le journal.

Chiffrer uniquement l’espace utilisé : Cette option est désactivée par défaut. Elle vous permet de chiffrer uniquement l’espace utilisé plutôt que de chiffrer le lecteur tout entier. Vous pouvez l’utiliser pour accélérer l’opération de chiffrement initial (lorsque la stratégie est appliquée pour la première fois à un ordinateur).

Avertissement : Si vous chiffrez uniquement l’espace utilisé, les données supprimées de l’ordinateur ne seront pas chiffrées. Veuillez donc uniquement l’utiliser sur les ordinateurs qui viennent d’être configurés.
Remarque : Cette option n’affecte pas les terminaux Windows 7.

Protéger les fichiers par mot de passe pour un partage sécurisé (Windows uniquement)

Remarque : Sur le terminal, la fonction est uniquement disponible à partir de la version 2.0 de Sophos Central Device Encryption.

Vous pouvez protéger des fichiers jusqu’à 50 Mo.

Activer le menu contextuel par clic droit : Si vous activez cette option, une option Créer un fichier protégé par mot de passe est ajoutée au menu par clic droit des fichiers comme indiqué à la section . Les utilisateurs peuvent joindre les fichiers protégés par mot de passe aux emails lorsqu’ils envoient des données sensibles hors du réseau de leur entreprise. Les fichiers sont enveloppés dans un nouveau fichier HTML avec le contenu chiffré.

Les destinataires peuvent ouvrir le fichier en cliquant deux fois dessus et en saisissant le mot de passe. Ils peuvent renvoyer le fichier reçu et le protéger avec le même mot de passe ou en utiliser un nouveau. Ils peuvent également créer un nouveau fichier protégé par mot de passe.

Activer le complément Outlook : Cette option ajoute le chiffrement des pièces jointes de messagerie à Outlook. Les utilisateurs peuvent protéger les pièces jointes en sélectionnant Protéger les pièces jointes dans le bandeau Outlook. Toutes les pièces jointes non protégées sont enveloppées dans une nouvelle pièce jointe HTML au contenu chiffré et l’email est envoyé.

Toujours demander comment traiter les pièces jointes : Si vous activez cette option, les utilisateurs doivent choisir le mode d’envoi des pièces jointes d’un message. Ils peuvent les envoyer protégées par mot de passe ou non.

Vous pouvez saisir des domaines exclus pour lesquels l’option Toujours demander comment traiter les pièces jointes ne s’applique pas. Par exemple, le domaine de votre organisation. Si les destinataires appartiennent à ce domaine, il n’est pas demandé aux expéditeurs comment ils veulent traiter les pièces jointes.

Saisissez uniquement les noms de domaine complets et séparez les par des virgules.