Personal Data Encryption est une des dernières fonctionnalités de sécurité publié par Microsoft et disponible sur Windows 11.
Dans un monde où la confidentialité et la sécurité est devenu primordiale, Personal Data Encryption s’impose comme une solution incontournable pour garantir la sécurité des informations sensibles des utilisateurs.
L’objectif primaire de cette fonctionnalité est de chiffer les données de l’utilisateur situées dans les répertoires « Bureau » « Mes documents ».
Nous allons à travers cet article ;
- Découvrir la fonctionnalité et voir ce qu’elle peut vous apporter concrètement
- La configurer avec Microsoft Intune
- Voir le coté utilisateur, quelle expérience ?
Découverte de Personal Data Encryption
Présentation
Intégré nativement à Windows 11, l’objectif de Personal Data Encryption est de chiffrer les données situées dans les répertoires « Bureau », « Documents » et « Images » au sein même de la session de l’utilisateur.
Le chiffrement repose sur l’algorithme AES-CBC avec une clé robuste de 256 bits, propre à chaque compte utilisateur. Cette clé est elle-même sécurisée via Windows Hello for Business, garantissant une protection renforcée contre les accès non autorisés.
Certains vont comparer cette fonctionnalité à Bitlocker mais à l’instar de celui-ci qui chiffre le disque entier, Personal Data Encryption chiffre lui les fichiers offrant une approche plus granulaire.
Voyons à travers ce tableau les différences entre les 2 solutions :
| Eléments | Personal Data Encryption | Bitlocker |
| Chargement de la clé de déchiffrement | À la connexion de l’utilisateur via Windows Hello Entreprise | Au démarrage |
| Libération de la clé de chiffrement | Quand l’utilisateur se déconnecte de Windows ou une minute après l’activation de l’écran de verrouillage Windows dans le cas d’une mise en veille | A l’arrêt |
| Contenu protégé | Tous les fichiers dans les dossiers cibles protégés | Disque entier |
| Authentification pour accéder au contenu protégé | Windows Hello For Business | Dépend du mode de déploiement (TPM + Pin par exemple) |
On peut donc dire que ces 2 fonctionnalités sont complémentaires et leur utilisation simultané ne fait que renforcer la posture sécurité du poste de travail ! 😊
Contrairement à BitLocker qui libère les clés de chiffrement au démarrage du poste de travail, Personal Data Encryption ne libère pas les clés de chiffrement des données chiffrés tant que l’utilisateur ne se connecte pas à l’aide de Windows Hello Entreprise ce qui offre une protection supplémentaire.
En effet, un autre utilisateur ou un administrateur qui se connecte sur la machine et souhaite parcourir les données d’un autre utilisateur via l’explorateur de fichier se verra l’accès refusé purement et simplement !
Prérequis
Pour utiliser cette fonctionnalité, il y a des prérequis à respecter tel que :
- Windows 11, version 22H2 et ultérieures
- Machines jointes à Entra ID ou en mode Entra ID Hybrid Join.
- Les machines jointes à un domaine Active Directory seul ne sont pas supportés.
- Utiliser Windows 11 Enterprise ou Education, hélas la version Pro n’est pas supportée ☹
- Mise en place de Windows Hello Entreprise.
Sur ce dernier point, Windows Hello Entreprise fait partie des impondérables du poste de travail niveau sécurité, vous pouvez en savoir plus via ce lien : Vue d’ensemble de Windows Hello Entreprise | Microsoft Learn
Recommandations autour de Personal data Encryption
Microsoft apporte plusieurs recommandations quant à la mise en place de cette fonctionnalité tel que :
- Activer Bitlocker.
Personal data Encryption fonctionne sans BitLocker mais il est recommandé d’activer BitLocker. Le chiffrement des données personnelles est destiné à fonctionner avec BitLocker pour renforcer la sécurité, il n’est pas un remplacement de BitLocker. Bitlocker est aujourd’hui une brique de sécurité essentielle !
- Avoir une solution de sauvegarde type OneDrive.
Dans certains scénarios comme un reset de la puce TPM, les clés de chiffrement sont perdus et le contenu est donc inaccessible. Le fait d’avoir une sauvegarde OneDrive permet de restaurer l’accès à ces données.
- Activation du service « Windows Hello for Business Pin reset”
Pour avoir, en cas d’oubli par l’utilisateur, une réinitialisation du code Pin Windows Hello « non destructive »
- Activer la connexion renforcée avec Windows Hello for Business
Offrir une sécurité supplémentaire via la biométrie par exemple
Mise en place de Personal Data Encryption avec Microsoft Intune
La mise en place de cette fonctionnalité se fait très simplement grâce à notre MDM favori, Microsoft Intune 😊
Pour cela, il faut se rendre dans la partie « Endpoint Security » / « Disk Encryption ».
Puis créer un profile de type Personal Data Encryption
Comme vous pouvez le voir, l’activation est assez simple, il suffit d’activer ces 4 paramètrages.
Libre à vous de ne l’activer que sur Documents ou Desktop par exemple.
Petite remarque, il est noté « Windows Insiders Only », n’en tenez pas compte, l’UI n’est pas à jour 😉
Ensuite sélectionnez le groupe de déploiement et let’s go !
Expérience utilisateur
Lorsque la stratégie est appliquée sur le poste de travail de l’utilisateur, les dossiers ou vous avez activez PDE se verront apposés une icone avec un cadenas jaune qui fourni la preuve de la sécurisation de leurs données.
Si un autre utilisateur essaye d’accéder aux données stockées dans un de ces répertoires, il recevra ce joli message lui indiquant qu’il n’a pas les autorisations d’y accéder.
Preuve que seul l’utilisateur est propriétaire de ces données.
Conclusion
Dans un monde informatique où les menaces se multiplient, Microsoft propose avec Personal Data Encryption une nouvelle fonctionnalité innovante pour sécuriser les données de vos utilisateurs.
Sa mise en place étant assez simple (si votre environnement répond au prérequis) pour un bénéfice immédiat, si votre environnement respecte les prérequis, n’hésitez pas à le faire et à offrir une couche de sécurité supplémentaires à vos utilisateurs et à votre organisation !! 😉