15 juillet 2026MDM & Endpoints

Chiffrement disque : récupération centralisée des clés FileVault, BitLocker et LUKS

Un collaborateur bloqué hors de son Mac chiffré un vendredi soir, et la clé de récupération stockée uniquement sur la machine elle-même : scénario classique, coût réel. Voici comment architecturer la récupération centralisée des clés pour FileVault, BitLocker et LUKS dans un parc de 20 à 150 endpoints.

Par ZRS-Holding Sàrl·10 min de lecture·12 lectures
Partager

Un actif chiffré inaccessible coûte plus cher que l'incident lui-même

Un disque chiffré sans clé de récupération accessible centralement, c'est un poste potentiellement perdu pour toujours — ou une journée de travail facturée à un prestataire pour tenter un bypass destructeur. Dans un parc de 50 endpoints sans MDM configuré correctement, la probabilité qu'au moins une clé soit introuvable au moment critique dépasse 60 % selon les audits terrain récurrents. Ce guide détaille les architectures de récupération pour les trois écosystèmes dominants en PME suisse romande : FileVault (macOS), BitLocker (Windows) et LUKS (Linux).

Cadre légal et obligations suisses

La nLPD (nouvelle Loi fédérale sur la protection des données), en vigueur depuis le 01.09.2023, n'impose pas explicitement le chiffrement des disques, mais l'article 8 OPDo exige des mesures techniques et organisationnelles proportionnées au risque. Pour une fiduciaire ou un cabinet médical traitant des données sensibles, l'absence de chiffrement des endpoints mobiles constitue une lacune défendable devant le PFPDT (Préposé fédéral à la protection des données et à la transparence) uniquement si une analyse de risque documentée justifie ce choix — ce qui n'arrive jamais en pratique.

En parallèle, les recommandations du NCSC (Centre national pour la cybersécurité) pour les PME placent le chiffrement des données au repos parmi les mesures prioritaires, au même titre que les sauvegardes et la MFA. Pour les établissements soumis à la FINMA, la circulaire 2023/1 sur les risques opérationnels renforce cette exigence pour tous les terminaux accédant aux systèmes de production.

Point critique souvent ignoré : la clé de récupération elle-même est une donnée sensible. Son stockage doit être auditable, chiffré au repos, et soumis à contrôle d'accès RBAC. La stocker dans un fichier texte sur un partage réseau non protégé annule le bénéfice du chiffrement disque.

FileVault sur macOS : dépôt institutionnel via MDM

Mécanisme de base

FileVault 2 (actif par défaut sur macOS 10.15+ sur Apple Silicon) génère une clé de récupération personnelle (PRK) de 24 caractères au format XXXX-XXXX-XXXX-XXXX-XXXX-XXXX. Sans MDM, cette clé est affichée une seule fois à l'activation et souvent perdue en six mois.

Dépôt via MDM (Intune, Jamf, ou équivalent open source)

Avec Apple Business Manager (ABM) et une solution MDM, le flux correct est :

  1. Enrollment DEP/ADE lors de la première mise sous tension — le device rejoint automatiquement le MDM avant que l'utilisateur ne crée son compte.
  2. Payload MDM com.apple.MCX.FileVault2 avec Defer: true et DeferForceAtUserLoginMaxBypassAttempts: 0 — l'activation est forcée à la première session utilisateur, sans possibilité de reporter indéfiniment.
  3. Paramètre ShowRecoveryKey: false et OutputPath défini côté serveur MDM : la PRK est transmise chiffrée au serveur MDM et n'est jamais visible par l'utilisateur final.
  4. Le MDM stocke la PRK chiffrée (AES-256) dans sa base ; l'accès est journalisé avec horodatage et identité du demandeur.
  5. Rotation automatique de la PRK après chaque utilisation : le MDM pousse un nouveau payload qui régénère la clé et la redépose.

Sur macOS 14 (Sonoma), Apple a introduit la Institutional Recovery Key (IRK) basée sur un certificat X.509 asymétrique : le DSI détient la clé privée, le device ne contient que la clé publique. Avantage : une seule clé privée déverrouille tous les Macs de l'organisation. Inconvénient : sa compromission est catastrophique — à réserver aux contextes avec HSM ou gestion de secrets robuste.

Vérification de l'état de chiffrement

En ligne de commande : fdesetup status retourne FileVault is On ou Off. Via MDM, le rapport d'inventaire expose l'attribut FileVaultEnabled et PersonalRecoveryKeySet — ces deux champs doivent être vrais simultanément. Un parc où 100 % des devices affichent FileVaultEnabled: true mais 15 % ont PersonalRecoveryKeySet: false signale des enrollments hors MDM ou des reconfigurations manuelles à corriger.

BitLocker sur Windows : dépôt dans Active Directory ou Entra ID

Architecture avec Entra ID (anciennement Azure AD)

Pour un parc Windows 11 23H2 géré via Autopilot + Intune, le workflow standard :

  1. Profil de configuration Intune : Endpoint security → Disk encryption → BitLocker. Activer BitLocker drive encryption pour les disques OS, avec chiffrement XTS-AES 256 bits et démarrage TPM 2.0 (obligatoire sur Windows 11).
  2. Paramètre Configure recovery key rotation : définir la rotation après chaque déverrouillage de récupération.
  3. Clé de récupération (48 chiffres) sauvegardée automatiquement dans Entra ID — accessible via le portail Entra ID → Devices → [device] → Recovery keys, avec audit log RBAC.
  4. Pour les devices en domaine AD on-premise (encore courant dans les PME romandes avec serveur local), la GPO Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Store BitLocker recovery information in Active Directory doit pointer sur l'OU correcte, avec Do not enable BitLocker until recovery information is stored in AD DS à Enabled — sinon le chiffrement démarre avant le dépôt et la clé est potentiellement perdue en cas d'échec réseau.
  5. Vérification via PowerShell : Get-BitLockerVolume -MountPoint C: | Select-Object EncryptionMethod, VolumeStatus, KeyProtector. Le KeyProtector doit lister TpmPin ET RecoveryPassword.

Scénario hybride AD + Intune (co-management)

Dans un contexte de co-management (Configuration Manager + Intune), la clé peut être dupliquée dans les deux annuaires si les deux workloads sont actifs. C'est une redondance utile, mais elle implique une politique claire sur quelle source fait foi en cas de discordance — documenter dans la PSSI.

Cas Windows sans TPM

Sur des machines de plus de cinq ans sans TPM 2.0 (ou TPM 1.2 désactivé), BitLocker peut fonctionner avec clé USB de démarrage ou mot de passe pré-boot. Dans ce cas, la GPO doit autoriser explicitement Allow BitLocker without a compatible TPM. Ces machines représentent un risque accru et devraient figurer dans le registre des exceptions avec date de remplacement planifiée.

LUKS sur Linux : récupération centralisée sans infrastructure AD

Architecture avec FleetDM ou solution open source

LUKS (Linux Unified Key Setup) est la couche standard sur Ubuntu, Debian, RHEL. La gestion centralisée est moins standardisée que FileVault ou BitLocker, car l'écosystème MDM Linux reste fragmenté. CIS Benchmarks pour Ubuntu 22.04 (niveau 1) recommande LUKS avec au moins une passphrase de 20 caractères et une clé de récupération distincte.

Options viables pour une PME :

  • Tang + Clevis (réseau local) : le serveur Tang détient un secret de dérivation ; le client Clevis déverrouille automatiquement le volume LUKS en présence du réseau interne. Pas de clé stockée sur le endpoint. En cas de sortie du périmètre réseau, la passphrase de secours est requise. La clé Tang doit être sauvegardée hors site (coffre chiffré).
  • Escrow manuel sécurisé : lors du provisioning, extraire la clé LUKS avec cryptsetup luksHeaderBackup /dev/sda --header-backup-file header.bin ET une passphrase de récupération dédiée, stocker dans un gestionnaire de secrets (Vault, Bitwarden Secrets Manager) avec accès RBAC. Documenter la procédure dans le runbook.
  • FleetDM : en mode agent osquery, expose les attributs de chiffrement des volumes (disk_encryption table), mais ne gère pas nativement l'escrow des clés LUKS — il faut coupler avec un script de provisioning et un backend secrets.

Rotation des clés LUKS

LUKS supporte jusqu'à 8 slots de clé (key slots). Ajouter un slot de récupération avec cryptsetup luksAddKey /dev/sda sans supprimer le slot utilisateur. Supprimer l'ancienne clé de récupération après rotation avec cryptsetup luksKillSlot. Sur Ubuntu 22.04, cryptsetup --dump /dev/sda liste les slots actifs — vérifier que le slot 0 (utilisateur) et le slot 1 (récupération) sont seuls actifs pour éviter la prolifération de clés orphelines.

Cas pratique : fiduciaire vaudoise, 45 endpoints

Contexte : cabinet fiduciaire à Lausanne, 38 Windows 11 (23H2), 7 MacBook Pro (macOS 14), aucun poste Linux. Données clients : bilans, déclarations fiscales, données personnelles au sens nLPD. Un auditeur externe a relevé en mars 2024 que les clés BitLocker étaient stockées dans un classeur Excel sur le serveur de fichiers, sans chiffrement ni contrôle d'accès différencié.

Objectif : centraliser les clés de récupération avec audit trail, conformité nLPD, délai de migration 6 semaines.

Procédure mise en place (acteurs : DSI externe mandaté + responsable IT interne) :

  1. Semaine 1 : Inventaire via PowerShell (Get-BitLockerVolume) sur les 38 postes Windows — résultat : 31 chiffrés, 7 non chiffrés (postes fixes considérés comme « en local »). Inventaire FileVault via MDM existant (Intune) — 5/7 Macs avec FileVault actif, 2 sans PRK déposée.
  2. Semaine 1-2 : Activation Entra ID join pour les 38 postes Windows (migration de domaine AD local vers hybride Entra ID). Coût estimé : intégré à la licence Microsoft 365 Business Premium déjà active (CHF 22.– par utilisateur/mois).
  3. Semaine 2 : Déploiement de la GPO/policy Intune BitLocker avec dépôt forcé dans Entra ID. Les 31 postes déjà chiffrés : rotation forcée de la clé via manage-bde -protectors -adbackup C: -id {GUID} pour chaque device, avec script PowerShell déployé via Intune. Les 7 non chiffrés : activation BitLocker + dépôt automatique Entra ID lors du prochain login.
  4. Semaine 3 : Correction des 2 Macs sans PRK déposée — réenrollment dans Intune avec payload FileVault corrigé (ShowRecoveryKey: false, dépôt serveur MDM activé). Vérification via rapport Intune : 7/7 Macs avec PersonalRecoveryKeySet: true.
  5. Semaine 4 : Suppression du fichier Excel des clés BitLocker. Mise en place d'un accès RBAC dans Entra ID : seuls le DSI externe et le responsable IT interne peuvent consulter les clés de récupération (rôle Cloud Device Administrator limité à ce scope).
  6. Semaine 5 : Test de récupération sur 3 postes Windows (simulation de perte de PIN TPM) et 1 Mac (simulation de mot de passe oublié) — validation que la procédure de récupération depuis le portail Entra ID et depuis Intune fonctionne en moins de 10 minutes par incident.
  7. Semaine 6 : Documentation dans le registre des traitements nLPD (mesure technique « chiffrement au repos avec gestion centralisée des clés »). Runbook de récupération rédigé, stocké dans le wiki interne (accès restreint).

Résultat : 45/45 endpoints chiffrés avec clés de récupération centralisées, auditables, RBAC. Temps de récupération moyen en cas d'incident estimé à 8 minutes (vs. 2-4 heures auparavant pour retrouver la bonne ligne dans l'Excel). Coût additionnel direct : CHF 0.– (infrastructure existante). Coût en jours/homme DSI externe : environ 3,5 jours à CHF 1 400.–/jour = CHF 4 900.– de migration.

Récapitulatif opérationnel

  • Inventorier avant de déployer : collecter l'état de chiffrement et la présence d'une clé de récupération déposée pour chaque endpoint — via MDM, PowerShell ou osquery. Un endpoint chiffré sans clé centralisée est une bombe à retardement.
  • macOS : forcer FileVault via payload MDM avec ShowRecoveryKey: false et dépôt automatique de la PRK. Vérifier que PersonalRecoveryKeySet: true dans l'inventaire MDM pour 100 % du parc.
  • Windows : XTS-AES 256, TPM 2.0, dépôt dans Entra ID ou AD DS avec la GPO « Do not enable BitLocker until recovery information is stored ». Activer la rotation automatique de la clé après chaque utilisation.
  • Linux/LUKS : utiliser Tang+Clevis pour l'auto-unlock réseau ou un escrow manuel dans un gestionnaire de secrets. Documenter les slots actifs et planifier la rotation des clés de récupération.
  • Accès RBAC aux clés : restreindre la consultation des clés de récupération à 2-3 rôles nommés maximum. Tout accès doit être journalisé avec horodatage et identité.
  • Rotation après utilisation : toute clé de récupération utilisée pour un déverrouillage réel doit être régénérée et redéposée dans les 24 heures.
  • Tester trimestriellement : simuler un scénario de récupération sur au moins un poste par plateforme (macOS, Windows, Linux si applicable). Documenter le temps de récupération.
  • Documenter dans le registre nLPD : la mesure de chiffrement au repos et la procédure de gestion des clés doivent figurer dans le registre des activités de traitement, conformément à l'article 12 nLPD.
  • Exceptions documentées : tout endpoint non chiffré (ancien matériel sans TPM, VM de test) doit figurer dans un registre des exceptions avec justification, responsable et date de résolution planifiée.
  • Ne pas confondre chiffrement actif et chiffrement complet : sur Windows, vérifier que VolumeStatus est FullyEncrypted et non EncryptionInProgress — un disque en cours de chiffrement n'est pas protégé.

SynGuard accompagne les PME romandes dans l'audit de l'état de chiffrement de leurs endpoints et la mise en place des politiques MDM correspondantes.

Sources

Noter cet article

Pas encore de note