En novembre 2024, un technicien en TI de Montréal a laissé son laptop Dell dans sa voiture pendant une réunion de 20 minutes au centre-ville. La vitre était intacte en sortant. Le sac et le laptop, disparus. Le disque dur n’était pas chiffré. La semaine suivante, les identifiants VPN de son employeur circulaient sur un forum russe. Son entreprise a payé 47 000 $ en frais de gestion d’incident pour une affaire qui aurait coûté zéro avec BitLocker activé.
Le chiffrement du disque dur est probablement la protection de sécurité la plus sous-utilisée par les particuliers et les PME québécoises, et pourtant l’une des plus efficaces. Elle est gratuite, intégrée dans Windows et macOS, et prend moins de 10 minutes à configurer.
Pourquoi un mot de passe Windows ou Mac ne suffit pas
C’est le malentendu le plus courant. Vous avez un mot de passe solide sur votre session Windows ou Mac, votre écran se verrouille automatiquement. Vous pensez que vos données sont protégées si quelqu’un vole votre ordinateur.
Ce n’est pas le cas.
Un disque dur non chiffré peut être retiré de l’ordinateur et branché comme disque externe dans un autre ordinateur. L’OS de l’autre ordinateur voit simplement un disque de stockage — pas de mot de passe, pas de session, juste des fichiers. En 15 minutes, quelqu’un avec des connaissances minimales peut lire tous vos documents, photos, courriels, historique de navigation, mots de passe sauvegardés dans le navigateur, et fichiers professionnels.
Alternative sans démonter : démarrer depuis une clé USB bootable avec un OS alternatif (Linux live USB). L’ordinateur démarre sur la clé, et votre disque Windows ou Mac est accessible comme simple disque de stockage, contenu lisible intégralement.
Le chiffrement du disque rend ces deux attaques inutiles. Sans la clé de déchiffrement (votre mot de passe + éventuellement une puce TPM matérielle), les données sont du bruit cryptographique. Même avec le disque physique entre les mains, c’est illisible.
Les statistiques sur le vol d’ordinateurs portables
L’organisation Kensington (fabricant des célèbres câbles antivol) estime qu’un laptop est volé toutes les 53 secondes dans le monde. Le FBI rapporte que plus de 97% des laptops volés ne sont jamais récupérés.
Pour le Canada spécifiquement, le CAFC (Centre antifraude du Canada) intègre les incidents de vol d’appareils dans ses statistiques de fraude et de vol d’identité. Les laptops d’entreprise volés sont régulièrement cités dans des incidents de brèche de données — la Loi 25 au Québec et la LPRPDE au niveau fédéral exigent des notifications en cas de brèche impliquant un laptop non chiffré.
Où les vols surviennent le plus fréquemment :
- Voitures (38% des vols d’entreprise selon Kensington)
- Aéroports et transports en commun
- Cafés et espaces de coworking
- Bureaux (vol par des tiers ou des ex-employés)
- Conférences et événements
Si vous travaillez avec des données clients, des informations médicales, des données financières, ou des informations de carte de crédit, un laptop non chiffré volé peut déclencher une obligation de notification légale et des amendes (jusqu’à 25 millions $ pour les violations graves sous la Loi 25 pour les entreprises).
BitLocker : guide complet pour Windows
Ce qu’est BitLocker
BitLocker est le système de chiffrement de disque intégré dans Windows depuis Vista. Il utilise l’algorithme AES-256 (le même standard utilisé par les gouvernements et les institutions financières) pour chiffrer l’intégralité du disque ou des partitions sélectionnées.
BitLocker est disponible sur :
- Windows 10/11 Pro, Enterprise, Education
- Windows Server 2008 R2 et versions ultérieures
Windows 10/11 Édition Familiale (Home) : BitLocker complet n’est pas inclus, mais une fonctionnalité appelée “Chiffrement de l’appareil” est disponible sur les appareils compatibles. Pour vérifier : Paramètres → Système → À propos → Chiffrement de l’appareil.
Prérequis
Puce TPM (Trusted Platform Module) : BitLocker utilise idéalement une puce TPM 2.0 intégrée dans la carte mère pour stocker une partie de la clé de chiffrement. Tous les PC fabriqués depuis 2016 sont généralement équipés d’un TPM 2.0. Pour vérifier : Win + R → tpm.msc → Voir le statut du TPM.
Si votre PC n’a pas de TPM, BitLocker peut fonctionner en mode “clé USB” — vous devez brancher une clé USB spécifique à chaque démarrage. C’est moins pratique mais ça fonctionne.
Compte administrateur : Vous devez être administrateur du PC pour activer BitLocker.
Activer BitLocker : procédure étape par étape
Méthode 1 : Via le Panneau de configuration (la plus simple)
- Tapez “BitLocker” dans la barre de recherche Windows
- Cliquez sur “Gérer BitLocker” ou “Chiffrement de lecteur BitLocker”
- À côté de votre lecteur C:, cliquez sur “Activer BitLocker”
- Choisissez comment déverrouiller au démarrage :
- Option recommandée pour la plupart : “Utiliser un mot de passe pour déverrouiller le lecteur” — vous entrez un mot de passe à chaque démarrage
- Option avec TPM seul : déverrouillage automatique (moins de sécurité physique, mais transparent en usage quotidien)
- ÉTAPE CRITIQUE — Sauvegarde de la clé de récupération :
- Enregistrez dans votre compte Microsoft (recommandé pour les particuliers)
- Imprimez la clé (48 chiffres) et conservez-la dans un endroit sécurisé séparé de l’ordinateur
- Sauvegardez sur une clé USB séparée
- Ne sauvegardez JAMAIS la clé uniquement sur le disque à chiffrer
- Choisissez ce à chiffrer :
- “Chiffrer uniquement l’espace disque utilisé” : rapide, recommandé pour un nouveau disque
- “Chiffrer tout le disque” : plus long mais recommandé si le disque a déjà été utilisé (efface les traces des fichiers supprimés)
- Choisissez le mode de chiffrement :
- “Nouveau mode de chiffrement (XTS-AES)” pour les disques internes fixes
- “Mode compatible” pour les disques amovibles (clés USB, disques externes)
- Cliquez sur “Démarrer le chiffrement”
Le chiffrement initial prend de 30 minutes à plusieurs heures selon la taille du disque et la performance du PC. Vous pouvez continuer à utiliser l’ordinateur pendant l’opération.
Méthode 2 : Via PowerShell (pour les utilisateurs avancés)
# Activer BitLocker sur le lecteur C: avec chiffrement AES-256
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -SkipHardwareTest -RecoveryPasswordProtectorRécupérer votre clé BitLocker si vous l’avez perdue
Si vous avez sauvegardé dans votre compte Microsoft : connectez-vous sur account.microsoft.com → Appareils → sélectionnez votre PC → Informations sur la clé de récupération BitLocker.
BitLocker sur les disques externes et clés USB
Vous pouvez aussi chiffrer vos disques USB externes et disques durs portables avec BitLocker To Go — même interface, même procédure, mais applicable aux volumes amovibles. Très utile pour transporter des fichiers professionnels ou des sauvegardes.
FileVault : guide complet pour Mac
Ce qu’est FileVault
FileVault 2 (introduit avec macOS Lion en 2011) chiffre l’intégralité du disque de démarrage Mac avec l’algorithme XTS-AES-128. Depuis les Mac Apple Silicon (M1+), FileVault fonctionne conjointement avec le Secure Enclave de la puce pour une protection renforcée.
FileVault est inclus dans toutes les versions de macOS, du plus basique MacBook Air jusqu’au Mac Pro.
Activer FileVault sur macOS Sonoma/Sequoia (2024-2026)
- Cliquez sur le menu Apple → Réglages du système (ou Préférences Système sur les versions antérieures)
- Cliquez sur votre nom en haut à gauche (identifiant Apple)
- Faites défiler vers le bas → Vie privée et sécurité
- Faites défiler jusqu’à la section FileVault
- Cliquez sur Activer…
- Choisissez comment récupérer l’accès si vous oubliez votre mot de passe :
- Via votre identifiant Apple : recommandé pour la plupart des utilisateurs. Apple stocke une version chiffrée de votre clé de récupération liée à votre Apple ID.
- Via une clé de récupération : FileVault génère une clé de 24 caractères que vous devez noter et conserver en sécurité. Si vous perdez votre mot de passe ET cette clé, vos données sont irrécupérables.
- Cliquez sur Continuer et entrez votre mot de passe d’administrateur Mac pour confirmer
Le chiffrement initial se déroule en arrière-plan pendant l’utilisation normale — vous n’avez pas besoin d’attendre.
Vérifier que FileVault est actif
Dans Réglages du système → Vie privée et sécurité → FileVault, vous verrez “FileVault est activé” avec l’option de le désactiver. Vous pouvez aussi vérifier via Terminal :
sudo fdesetup statusRésultat attendu : FileVault is On.
Mac avec Apple Silicon (M1/M2/M3/M4)
Les Mac Apple Silicon ont une architecture de sécurité différente. Le disque est chiffré par défaut grâce au Secure Enclave, même sans FileVault activé. Cependant, cette protection par défaut utilise une clé liée à l’appareil — pas à votre mot de passe.
Avec FileVault activé : vos données sont chiffrées avec votre mot de passe de connexion. Si quelqu’un accède physiquement au disque ou tente de démarrer en mode recovery sans connaître votre mot de passe, les données sont inaccessibles.
Sans FileVault sur Apple Silicon : la protection est réelle mais moins absolue. Apple peut théoriquement déchiffrer le disque en mode recovery avec les outils appropriés. Pour des données sensibles, FileVault est recommandé.
Apple recommande explicitement d’activer FileVault sur tous les Mac, y compris ceux avec Apple Silicon.
Gérer FileVault en entreprise
Pour les PME qui gèrent plusieurs Mac, FileVault peut être déployé et géré via MDM (Mobile Device Management) comme Jamf ou la gestion d’appareils Apple Business Manager. Les clés de récupération institutionnelles peuvent être stockées centralement, ce qui évite le problème du “l’employé est parti et personne ne connaît le mot de passe du Mac.”
BitLocker vs FileVault : comparaison directe
| Critère | BitLocker (Windows) | FileVault (Mac) |
|---|---|---|
| Algorithme | XTS-AES-256 | XTS-AES-128 |
| Inclus dans l’OS | Pro/Enterprise seulement | Toutes versions macOS |
| Facilité d’activation | Bonne | Excellente |
| Récupération de clé | Compte Microsoft ou papier | Apple ID ou clé papier |
| Impact performance | Négligeable (SSD) | Négligeable (tous Mac récents) |
| Protection Apple Silicon | N/A | Complète + Secure Enclave |
| Gestion entreprise | Active Directory, Intune | Jamf, ABM |
Les deux systèmes offrent une protection solide. L’algorithme AES-128 de FileVault est considéré comme aussi résistant que l’AES-256 de BitLocker pour les menaces réelles actuelles — la différence théorique de force brute n’est pas pertinente avec les technologies actuelles.
Ce que le chiffrement ne fait pas : les limites importantes
Il faut être honnête sur ce que BitLocker et FileVault ne protègent pas.
Protection uniquement quand l’ordinateur est éteint (ou en veille prolongée)
Quand votre ordinateur est allumé et que vous avez entré votre mot de passe de démarrage, le disque est déchiffré et accessible. Un attaquant qui s’empare de votre ordinateur allumé avec votre session ouverte a accès à vos données. Un malware actif sur votre système a accès à vos données.
Le chiffrement protège spécifiquement contre l’accès physique au disque quand l’appareil est éteint.
Ne protège pas contre les sauvegardes non chiffrées
Si vous sauvegardez votre Mac sur Time Machine sur un disque externe non chiffré, vos données sauvegardées sont lisibles sans FileVault. Assurez-vous que vos sauvegardes sont aussi chiffrées.
Pour Time Machine : lors de la configuration, cochez “Chiffrer les sauvegardes” (vous définissez un mot de passe de sauvegarde séparé).
Pour les sauvegardes Windows via History/Backup : si vous sauvegardez sur un disque externe, utilisez BitLocker To Go sur ce disque externe également.
Pour les sauvegardes cloud : assurez-vous d’utiliser un service avec chiffrement de bout en bout. iCloud Drive de base et OneDrive n’offrent pas de chiffrement côté client (Apple et Microsoft peuvent théoriquement voir vos fichiers). Pour des données très sensibles, des services comme Tresorit ou ProtonDrive offrent du chiffrement zéro-connaissance. Notre article sur le chiffrement de bout en bout expliqué détaille ces distinctions.
Ne protège pas si votre mot de passe est faible
Un disque chiffré avec le mot de passe “password123” n’est pas vraiment protégé — une attaque par dictionnaire peut le cracker en minutes. Utilisez un mot de passe fort (12+ caractères, mélange de lettres, chiffres, symboles) ou une passphrase (ex : “Québec-Hiver-2024-Poutine!”). Notre guide sur les gestionnaires de mots de passe peut vous aider à gérer des mots de passe forts sans les mémoriser tous.
La clé de récupération : l’élément le plus critique
La clé de récupération est ce qui vous permet de retrouver l’accès à vos données si vous oubliez votre mot de passe ou si le matériel change (remplacement de carte mère pour BitLocker avec TPM, par exemple).
Sans la clé de récupération + mot de passe oublié = données définitivement perdues. C’est par design — c’est ce qui rend le chiffrement efficace contre les voleurs.
Où stocker la clé de récupération BitLocker
Option 1 — Compte Microsoft : La solution la plus simple pour les particuliers. Connectez-vous sur account.microsoft.com et vos clés BitLocker s’y trouvent. Risque : si votre compte Microsoft est compromis, quelqu’un a accès à vos clés.
Option 2 — Impression papier : Imprimez la clé de 48 chiffres et rangez-la dans un endroit physiquement sécurisé (coffre-fort à la maison, coffret bancaire). Ne la rangez pas dans le même sac que l’ordinateur.
Option 3 — Gestionnaire de mots de passe : Sauvegardez la clé dans votre gestionnaire de mots de passe (Bitwarden, 1Password). Si votre ordinateur est volé, vous pouvez accéder à votre gestionnaire depuis un autre appareil.
Option 4 — Clé USB séparée : Stockez le fichier de récupération sur une clé USB gardée séparément de l’ordinateur. Risque si vous perdez la clé USB.
Recommandation : Combinez au moins deux méthodes. Compte Microsoft + impression papier rangée séparément, par exemple.
Où stocker la clé de récupération FileVault
Option 1 — Identifiant Apple : Apple stocke une version chiffrée de votre clé. Pour y accéder, Apple doit vérifier votre identité — processus qui prend typiquement quelques jours. Pratique mais pas instantané.
Option 2 — Clé papier : FileVault affiche une clé de 24 caractères lors de l’activation. Notez-la et rangez-la séparément de l’ordinateur.
Cas pratiques : quand le chiffrement sauve réellement
Laptop d’employé volé dans un café Sans chiffrement : les données clients, les accès VPN, les emails professionnels sont lisibles par le voleur (ou revendus). Avec BitLocker : le disque est du bruit aléatoire. L’entreprise doit gérer la perte matérielle, pas une brèche de données.
MacBook oublié dans un Uber Sans FileVault : toutes les photos, documents iCloud locaux, cookies de navigateur (accès potentiel aux comptes bancaires sans mot de passe), Keychain (mots de passe sauvegardés) sont accessibles. Avec FileVault : rien n’est lisible sans le mot de passe.
Disque dur vendu ou recyclé sans effacement complet Des études répétées montrent que des milliers de disques durs vendus d’occasion contiennent des données récupérables même après suppression de fichiers. Avec chiffrement activé : un disque vendu est illisible sans la clé — les données “effacées” sont du bruit cryptographique même sans reformatage complet.
Saisie douanière à la frontière Les agents des douanes américaines (CBP) ont le droit légal d’inspecter les appareils électroniques à la frontière. Un disque non chiffré peut être copié intégralement. Un disque chiffré sans le mot de passe de l’utilisateur est illisible. Notez que vous pouvez légalement refuser de déverrouiller votre appareil — mais des conséquences (refus d’entrée) peuvent en découler.
Chiffrement des disques externes et clés USB
Ne négligez pas les supports amovibles — ils sont souvent perdus ou volés.
Windows — BitLocker To Go : Branchez votre disque ou clé USB → Explorateur de fichiers → Clic droit sur le lecteur → “Activer BitLocker” → Choisir un mot de passe → Sauvegarder la clé de récupération → Chiffrer.
La prochaine fois que vous branchez le disque sur n’importe quel PC Windows, il vous demandera le mot de passe. Sur un Mac ou Linux, le disque apparaîtra comme protégé (des outils tiers existent pour lire les volumes BitLocker sur macOS).
Mac — FileVault sur disque externe : Branchez le disque → Finder → Clic droit sur le volume → “Chiffrer [nom du disque]” → Créer un mot de passe → Le chiffrement se fait en arrière-plan.
Pour les entreprises québécoises : obligations et recommandations
Sous la Loi 25 (Québec) et la LPRPDE (fédéral), les entreprises qui traitent des renseignements personnels ont l’obligation de les protéger avec des mesures de sécurité adéquates. Un laptop professionnel non chiffré contenant des données clients peut entraîner une obligation de notification de brèche si volé.
Mesures minimales recommandées pour les PME :
- BitLocker ou FileVault activé sur tous les appareils portables
- Politique de gestion des clés de récupération (stockage centralisé des clés)
- Procédure en cas de vol : qui appeler, quoi faire dans les premières heures
Pour les PME avec plusieurs appareils, Sequr propose des audits de sécurité qui incluent la vérification du statut de chiffrement des appareils et la mise en place de politiques adaptées.
Notre article sur la Loi 25 et le chiffrement des obligations d’entreprises détaille les exigences légales spécifiques.
Activer le chiffrement maintenant : récapitulatif
Mac (5 minutes) : Réglages du système → Vie privée et sécurité → FileVault → Activer → Sauvegarder la clé → Terminé.
Windows Pro (10 minutes) : Recherche → “BitLocker” → Gérer BitLocker → Activer BitLocker sur C: → Choisir mot de passe → Sauvegarder clé de récupération → Lancer le chiffrement → Ça tourne en arrière-plan.
Windows Home : Vérifiez d’abord si “Chiffrement de l’appareil” est disponible (Paramètres → Système → À propos). Sinon, envisagez VeraCrypt (gratuit, open source) comme alternative à BitLocker pour les disques entiers.
Votre disque dur non chiffré est une enveloppe d’informations personnelles et professionnelles que n’importe qui peut lire si l’ordinateur est volé. Le vol d’ordinateurs portables arrive quotidiennement au Québec — dans les voitures, les cafés, les transports en commun. Le chiffrement est la mesure qui transforme un vol de hardware en simple perte matérielle, plutôt qu’en brèche de données avec conséquences légales et financières.
Dix minutes aujourd’hui. BitLocker ou FileVault. Et sauvegardez cette clé de récupération.
Si vous gérez la sécurité informatique d’une PME québécoise ou avez besoin d’un audit des appareils de votre organisation, l’équipe Sequr peut vous accompagner.
