Passer au contenu principal

État du chiffrement du disque

Alert when a device's primary partition isn't encrypted. The Encryption Status monitor checks BitLocker on Windows, FileVault on macOS, and LUKS on Linux with no configuration needed.

Introduction

Les endpoints non chiffrés constituent l'une des lacunes de conformité les plus courantes dans tout environnement. Un ordinateur portable perdu avec un disque non chiffré représente une violation de données ; un ordinateur portable perdu avec un disque chiffré n'est qu'une perte matérielle.

Le moniteur d'état du chiffrement vérifie si la partition principale de chaque appareil est chiffrée et crée une alerte lorsque ce n'est pas le cas, ou lorsque le chiffrement se trouve dans un état inattendu. Il fonctionne sur Windows (BitLocker), macOS (FileVault) et Linux (LUKS), et ne nécessite aucune configuration de seuil ou de durée. Ajoutez-le à une politique et il commence à vérifier.

Fonctionnement

Le moniteur s'exécute sur l'agent. Il effectue une vérification booléenne : la partition principale de l'appareil est-elle chiffrée, oui ou non. Il n'y a aucun seuil, aucune durée ni aucune portée à configurer.

La vérification ne couvre que la partition principale (de démarrage). Les disques secondaires et les volumes supplémentaires ne sont pas évalués. Si vous devez vérifier le chiffrement sur des disques secondaires, associez ce moniteur à un moniteur de script qui vérifie les volumes spécifiques qui vous intéressent. Voir Moniteur d'exécution de script.

🖥️ NOTE DE PLATEFORME :

  • Windows: Vérifie l'état de protection BitLocker sur le volume de démarrage. Cela indique si la protection BitLocker est actuellement activée, et pas seulement si le volume a été chiffré. Un volume entièrement chiffré dont la protection est suspendue (ce qui se produit temporairement lors de certaines mises à jour Windows et modifications du micrologiciel) est signalé comme non chiffré.

  • macOS: Vérifie si FileVault est activé, en utilisant une vérification native de macOS.

  • Linux: Vérifie le chiffrement LUKS sur la partition racine (/).

Ajout du moniteur

Ouvrez la politique de moniteur qui cible les appareils que vous souhaitez vérifier, puis cliquez sur + Ajouter un nouveau moniteur.

Disk Encryption Status

Nom et type

  1. Saisissez un Nom qui identifie l'objectif du moniteur en un coup d'œil, comme «État du chiffrement du disque» ou «Postes de travail - Conformité du chiffrement».

  2. Définissez Type sur État du chiffrement.

Une fois le type sélectionné, le panneau confirme qu'il n'y a rien d'autre à configurer : le moniteur surveille uniquement la partition principale de l'appareil, sans aucune configuration nécessaire.

Gravité

Définissez Gravité en fonction de l'urgence avec laquelle votre équipe traite un appareil non chiffré :

  • Information

  • Avertissement

  • Critique

💡 CONSEIL : Si vos clients ont des exigences de conformité (HIPAA, CMMC, attestations d'assurance cyber), envisagez Critique. Un endpoint non chiffré ne dégrade pas les performances, mais représente une non-conformité ouverte à chaque heure où il persiste.

Remédiation

Associez une automatisation à exécuter lorsque cette alerte se déclenche. Cliquez sur le champ Sélectionner une automatisation et choisissez-en une, utilisez l'icône lien pour ouvrir l'automatisation sélectionnée dans un nouvel onglet, l'icône œil pour le prévisualiser, ou l'icône × pour effacer la sélection.

ℹ️ REMARQUE : Les remédiations s'exécutent lors de la création de l'alerte, et non lors de sa résolution.

L'association naturelle ici est une automatisation construite sur l'action Activer le chiffrement du disque qui active BitLocker ou FileVault et stocke la clé de récupération dans Level. Cela boucle la boucle : le moniteur détecte la lacune, l'automatisation la corrige, et la résolution automatique efface l'alerte.

⚠️ AVERTISSEMENT : Réfléchissez avant d'automatiser la remédiation du chiffrement sur les serveurs et les machines partagées. L'activation de BitLocker peut nécessiter un redémarrage pour s'achever, et tout changement de chiffrement a des implications sur la clé de récupération. Pour les postes de travail, la remédiation automatique est généralement sûre. Pour les serveurs, une approche de notification uniquement avec un suivi manuel est souvent le meilleur choix.

Notifier les destinataires

Deux cases à cocher contrôlent si les destinataires de la politique reçoivent un e-mail :

  • Lors de la création de l'alerte envoie un e-mail lorsque l'alerte se déclenche.

  • Lors de la résolution de l'alerte envoie un e-mail lorsque l'alerte est résolue.

Les deux sont désactivées par défaut. Les destinataires sont gérés au niveau de la politique de moniteur, dans la Destinataires section.

Résolution automatique

Le bouton bascule Résoudre automatiquement l'alerte lorsque les conditions sont rétablies ferme automatiquement l'alerte dès que la partition principale est à nouveau signalée comme chiffrée, que ce soit parce que votre automatisation de remédiation a activé le chiffrement ou qu'un technicien l'a corrigé manuellement.

Il est désactivé par défaut pour ce moniteur. Activez-le si vous associez le moniteur à une remédiation automatisée. Laissez-le désactivé si vous souhaitez que chaque constat de chiffrement reste ouvert jusqu'à ce que quelqu'un l'examine.

FAQ

  • Pourquoi un appareil génère-t-il une alerte alors que je sais que le disque est chiffré ? Sur Windows, le moniteur lit l'état de protection de BitLocker, et pas seulement l'état du chiffrement. Un volume entièrement chiffré mais dont la protection est suspendue (courant temporairement lors de certaines mises à jour Windows) est signalé comme non chiffré jusqu'à la reprise de la protection. Si l'alerte ne se efface pas après la fin de la mise à jour, vérifiez manage-bde -status sur l'appareil.

  • Cette vérification concerne-t-elle tous les disques ou uniquement le disque système ? Uniquement la partition principale (de démarrage). Les disques secondaires et les volumes de données ne sont évalués sur aucune plateforme. Utilisez un moniteur de script si vous avez besoin d'une couverture au-delà du volume de démarrage.

  • Peut-il détecter un chiffrement tiers comme VeraCrypt ou Symantec ? Non. Le moniteur vérifie les mécanismes natifs du système d'exploitation : BitLocker sur Windows, FileVault sur macOS et LUKS sur Linux. Les appareils utilisant un chiffrement intégral du disque tiers seront signalés comme non chiffrés.

  • J'ai ajouté le moniteur mais certains appareils ne génèrent jamais d'alerte et n'apparaissent jamais comme évalués. Pourquoi ? Vérifiez la version de l'agent. Les agents plus anciens ignorent les types de moniteurs qu'ils ne reconnaissent pas ; les appareils utilisant des versions obsolètes n'exécuteront pas du tout cette vérification. Mettez à jour l'agent et le moniteur les prendra en charge.

  • L'alerte peut-elle corriger le problème automatiquement ? Oui. Associez une automatisation qui utilise l'action Activer le chiffrement du disque comme remédiation. Level active BitLocker ou FileVault et stocke la clé de récupération. Activez la résolution automatique pour que l'alerte se ferme une fois le chiffrement actif.

  • Qui peut créer et modifier ce moniteur ? Les techniciens ayant accès à la politique de moniteur concernée. Les paramètres de permission sont gérés dans Espace de travail → Permissions.

Articles connexes
Action : Activer le chiffrement du disque
Action : Désactiver le chiffrement du disque
Action : Rotation de la clé de chiffrement du disque
Moniteur de latence disque
Moniteur d'état SMART des disques
Avez-vous trouvé la réponse à votre question ?