Mettre en place BitLocker sur un portable professionnel

Pourquoi ce tutoriel ?

BitLocker est un outil de chiffrement de disque intégré à Windows (Pro/Entreprise) qui protège vos données même si l’ordinateur est volé ou perdu. Sur un portable professionnel, il est essentiel pour garantir la confidentialité des fichiers et respecter les exigences de conformité RGPD ou de politiques internes de sécurité.

1. Prérequis avant d’activer BitLocker

1. Windows 10/11 Pro, Entreprise ou Éducation (BitLocker n’est pas disponible sur Home).

2. Module TPM (Trusted Platform Module) 1.2 ou 2.0 activé dans le BIOS/UEFI.

3. Droits administrateur sur la machine.

4. Sauvegarde des données importantes (précaution avant chiffrement).

5. Batterie chargée ou portable branché au secteur.

💡 Pour vérifier la présence du TPM :

• Appuyer sur Windows + R, taper tpm.msc et valider.

• Si TPM est absent, il faudra activer BitLocker avec un mot de passe ou une clé USB de démarrage.

2. Activer BitLocker pas à pas

2.1. Ouvrir BitLocker

1. Clic droit sur le menu Démarrer → Panneau de configuration.

2. Aller dans Système et sécurité → Chiffrement de lecteur BitLocker.

3. Cliquer sur Activer BitLocker sur le disque système (C:).

2.2. Choisir la méthode de déverrouillage

Options disponibles :

• TPM uniquement : déverrouillage automatique si puce TPM détectée.

• TPM + code PIN : plus sécurisé, nécessite de saisir un code au démarrage.

• Mot de passe : utile si pas de TPM.

• Clé USB : l’ordinateur démarre uniquement avec cette clé insérée.

💡 Recommandation pro : TPM + code PIN pour éviter un accès automatique en cas de vol.

2.3. Sauvegarder la clé de récupération

⚠ Cette étape est critique :

• Sauvegarder dans votre compte Microsoft (perso) ou Azure AD (pro).

• Exporter dans un fichier TXT stocké sur un support externe sécurisé.

• Imprimer et conserver dans un coffre ou un dossier RH sécurisé.

2.4. Choisir le mode de chiffrement

• Espace disque utilisé uniquement : plus rapide, adapté à un nouveau PC.

• Disque entier : recommandé sur un portable déjà utilisé.

2.5. Choisir l’algorithme de chiffrement

• XTS-AES 128 bits : plus rapide, suffisant pour la majorité des usages.

• XTS-AES 256 bits : plus sécurisé, recommandé pour données sensibles ou exigence réglementaire.

2.6. Démarrer le chiffrement

• Cliquer sur Démarrer le chiffrement.

• Le processus peut durer plusieurs heures selon la taille du disque.

• L’ordinateur reste utilisable pendant le chiffrement (légère baisse de performances possible).

3. Vérifier l’état de BitLocker

• Ouvrir Invite de commandes (admin) et taper :
  manage-bde -status

• Vérifier que le disque C: affiche Pourcentage chiffré = 100%.

4. Gérer BitLocker au quotidien

• Suspendre BitLocker : utile avant une mise à jour majeure de Windows.

• Modifier le code PIN : via manage-bde -changepin C:.

• Ajouter un mot de passe secondaire : pratique pour administrateurs IT.

5. Bonnes pratiques en entreprise

• Stockage centralisé des clés de récupération (Azure AD, Active Directory).

• Formation des utilisateurs sur la perte de clé et les procédures de récupération.

• Contrôle régulier de l’activation BitLocker via inventaire informatique.

• Coupler BitLocker avec la 2FA et un compte administrateur sécurisé.

6. Cas pratique

Avant : Portable pro volé lors d’un déplacement → fuite de données clients.
Après : Portable chiffré avec BitLocker + PIN → disque illisible sans clé de récupération, conformité RGPD assurée.

Ressources utiles

• Guide officiel Microsoft : https://learn.microsoft.com/fr-fr/windows/security/bitlocker/

• Commandes BitLocker : https://learn.microsoft.com/fr-fr/windows-server/administration/windows-commands/manage-bde

• Normes RGPD et chiffrement : https://www.cnil.fr/