Si vous dirigez une entreprise sur des Mac (et de nombreuses entreprises font), alors vous devriez vous familiariser avec FileVault, le système de chiffrement de disque intégré à macOS. Lorsqu’il est utilisé correctement, il est extrêmement difficile pour toute personne malveillante d’accéder aux données confidentielles de votre entreprise en cas de perte ou de vol de votre Mac.

Quel est le problème que FileVault essaie de résoudre ?

La plupart des entreprises possèdent diverses formes de données sensibles. Cela peut inclure des données d’entreprise ou de fournisseur, des carnets de commandes confidentiels, des dossiers financiers, des noms et adresses de contacts, etc. Ces informations ont une valeur commerciale, mais si elles sont compromises, elles peuvent également vous mettre en danger, vos employés ou vos clients. Dans de nombreuses industries, la protection de ces informations est obligatoire et légalement requise.

FileVault d’Apple rend beaucoup plus difficile pour les utilisateurs non autorisés d’extraire ce type de données des Mac de l’entreprise. Pour ce faire, il crypte les données sur le Mac et ne les décrypte qu’une fois qu’une connexion appropriée est utilisée. FileVault crypte et décrypte les données en arrière-plan, de sorte que le système peut être utilisé pendant qu’il le fait.

Qu’est-ce que FileVault ?

Apple a introduit FileVault en 2005 avec Mac OS X Panther (10.3). À cette époque, il ne protégeait que le dossier d’accueil d’un utilisateur. La technologie a évolué depuis et propose désormais un cryptage des données XTS-AES 128 pour l’ensemble du disque, protégé par une clé 256 bits.

Lorsqu’il s’agit d’affaires, le service informatique peut gérer FileVault à l’aide de la plupart des systèmes et consoles MDM disponibles. Lorsqu’un Mac est protégé par FileVault, personne ne peut accéder à ses données à moins de disposer de la clé de déchiffrement FileVault ou des informations d’identification du compte utilisateur.

L’implémentation actuelle de FileVault est disponible sur les Mac Intel et Apple Silicon récents.

Comment activer FileVault

FileVault n’est pas activé par défaut.

Pour l’activer, vous devez être un Utilisateur administrateur sur votre Mac. Si oui, vous pouvez ouvrir Préférences système>Sécurité et confidentialité et vérifiez le Coffre fort languette.

Vous aurez deux choix, pour protéger le Mac à l’aide de votre compte et mot de passe iCloud, ou pour utiliser une clé de récupération. La première option convient aux utilisateurs personnels, mais la plupart des entreprises utiliseront probablement une clé de récupération.

Il est très important de noter votre mot de passe de connexion et la clé de récupération générée pour vous lorsque vous activez FileVault. En effet, si vous les oubliez tous les deux, toutes les données de votre Mac ne seront pas disponibles. Une protection ici est que les systèmes basés sur la console MDM peuvent être en mesure d’attribuer à distance de nouvelles clés.

NB : Une fois que vous avez activé FileVault, il ne peut pas être désactivé tant que le premier chiffrement complet n’a pas été effectué. Ce premier cryptage peut prendre du temps, selon la quantité d’informations que vous avez sur votre Mac. Par la suite, en cas de modification de la phrase secrète ou de la clé de récupération, l’intégralité du volume doit être déchiffrée et rechiffrée.

Connaissez vos limites

Il est extrêmement important de noter qu’un utilisateur individuel qui ne peut pas se souvenir de son mot de passe ou de sa clé de récupération ne pourra jamais accéder à ces données, car il devra éventuellement supprimer et réinstaller macOS.

Cependant, une entreprise qui utilise un système MDM moderne pour gérer ses Mac peut également attribuer des clés de récupération institutionnelles qui peuvent être gérées et stockées à partir de la console MDM. C’est utile car cela signifie que si un utilisateur oublie son mot de passe, le service informatique peut utiliser la clé de récupération pour réinitialiser FileVault et attribuer un nouveau mot de passe pour les faire rentrer.

Éléments à prendre en compte lors de la création de codes d’accès

Les entreprises doivent envisager une politique de code d’accès pour les volumes FileVault. Une généralisation est que les codes d’accès plus longs sont des codes d’accès plus forts (tant qu’ils ne sont pas 12345678910), mais il est également important de prendre en compte les horaires de rotation des codes d’accès et les codes alphanumériques. D’après mon expérience, le défi avec la clé de récupération FileVault est que, puisqu’elle est utilisée si rarement, il est très facile d’oublier le code. C’est un code qui doit être écrit et verrouillé quelque part, même si vous utilisez un chiffrement de transposition pour sécuriser cette clé écrite.

[Also read: How to stay as private as possible on the Mac]

Certains Mac cryptent déjà

Les Mac équipés d’une puce Apple T2 Security cryptent déjà automatiquement les données. Cela vaut toujours la peine d’utiliser FileVault avec ces systèmes car il améliore la protection inhérente en exigeant votre mot de passe de connexion pour déchiffrer vos données.

Apple maintient une liste de Mac qui utilisent la puce de sécurité T2 ici.

Tous vos Mac doivent-ils être protégés par FileVault ?

En règle générale, tout Mac qui transporte ou a accès à des données professionnelles personnelles ou sensibles doit utiliser le cryptage FileVault.

Quelles sont les conséquences de l’utilisation de FileVault ?

Outre la perte totale de données dans le cas où vous oubliez vos codes d’accès et perdez l’accès à votre Mac, le plus grand résultat négatif lors de l’utilisation de FileVault est que les performances d’E/S peuvent parfois être affectées.

Que puis-je utiliser à la place de FileVault ?

Bien que FileVault ait le gros avantage d’être natif Mac, certaines entreprises peuvent préférer utiliser des solutions alternatives telles que VeraCrypt.

Où puis-je en savoir plus sur FileVault ?

Les conseils actuels d’Apple sur l’utilisation de FileVault dans macOS Monterey sont disponible ici.

Merci de me suivre sur Twitter, ou rejoignez-moi dans le Bar & grill AppleHolic et Discussions Apple groupes sur MeWe.