Personal Data Encryption : le chiffrement des données dans Windows 11

Introduction à Personal Data Encryption dans Windows 11 

Personal Data Encryption est une des dernières fonctionnalités de sécurité publiée par Microsoft et disponible sur Windows 11. 

Personal Data Encryption est une fonctionnalité directement intégrée à Windows 11 qui a pour objectif le chiffrement des données situées dans les répertoires « Bureau », « Documents » et « Images » dans la session de l’utilisateur.  

Avec Personal Data Encryption, ces données sont chiffrées par l’algorithme AES-CBC avec une clé de 256 bits. Il y a une clé de chiffrement spécifique à chaque compte utilisateur. Cette clé est protégée par Windows Hello for Business. 

Nous allons découvrir à travers cet article : 

• Quels sont les avantages de la fonctionnalité Personal Data Encryption de Windows 11 ? 
• Comment la configurer avec Microsoft Intune ? 
• Quelle expérience est proposée du côté des utilisateurs ? 

Différences entre Personal Data Encryption et BitLocker 

La différence entre Personal Data Encryption et BitLocker est que celui-ci chiffre le disque entier, alors que Personal Data Encryption chiffre quant à lui les fichiers. 

Voyons à travers ce tableau les différences entre Personal Data Encryption et BitLocker : 

On peut donc dire que les deux solutions sont complémentaires et leur utilisation simultanée ne fait que renforcer la posture sécurité du poste de travail. 

Contrairement à BitLocker qui libère les clés de chiffrement au démarrage du poste de travail, Personal Data Encryption ne libère pas les clés de chiffrement des données chiffrées tant que l’utilisateur ne se connecte pas à l’aide de Windows Hello Entreprise ce qui offre une protection supplémentaire. 

En effet, avec Personal Data Encryption, un autre utilisateur ou un administrateur qui se connecte sur la machine et souhaite parcourir les données d’un autre utilisateur via l’explorateur de fichiers se verra l’accès refusé purement et simplement ! 

Prérequis pour utiliser Personal Data Encryption dans Windows 11 

Pour utiliser la fonctionnalité Personal Data Encryption, il y a des prérequis à respecter tels que : 

• Windows 11, version 22H2 et ultérieures, 
• Machines jointes à Entra ID ou en mode Entra ID Hybrid Join, 
• Les machines jointes à un domaine Active Directory seul ne sont pas supportées, 
• Utiliser Windows 11 Enterprise ou Education, hélas la version Pro n’est pas supportée , 
• Mise en place de Windows Hello Entreprise.  

Sur ce dernier point, Windows Hello Entreprise fait partie des impondérables du poste de travail niveau sécurité. Vous pouvez en savoir plus via ce lien : Vue d’ensemble de Windows Hello Entreprise | Microsoft Learn 

Microsoft apporte plusieurs recommandations quant à la mise en place de cette fonctionnalité, telles que : 

• Activer BitLocker : Personal Data Encryption fonctionne sans BitLocker mais il est recommandé d’activer BitLocker. Le chiffrement des données personnelles est destiné à fonctionner avec BitLocker pour renforcer la sécurité, il n’est pas un remplacement de BitLocker. BitLocker est aujourd’hui une brique de sécurité essentielle. 
• Avoir une solution de sauvegarde type OneDrive : dans certains scénarios comme un reset de la puce TPM, les clés de chiffrement sont perdues et le contenu est inaccessible. Le fait d’avoir une sauvegarde OneDrive permet de restaurer l’accès à ces données. 
• Activation du service « Windows Hello for Business Pin reset” : pour avoir, en cas d’oubli par l’utilisateur, une réinitialisation du code Pin Windows Hello « non destructive ». 
• Activer la connexion renforcée avec Windows Hello for Business : offrir une sécurité supplémentaire via la biométrie par exemple. 

Mettre en place Personal Data Encryption avec Microsoft Intune 

La mise en place de Personal Data Encryption se fait très facilement et rapidement avec le MDM Microsoft Intune. 

Pour cela, il faut se rendre dans la partie « Endpoint Security » / « Disk Encryption » d’Intune : 

Puis de créer un profil de type Personal Data Encryption comme suit : 

Comme vous pouvez le voir dans la copie d’écran, l’activation de Personal Data Encryption dans Intune est assez simple à l’aide de ces 4 paramètres. Libre à vous de ne l’activer que sur Documents ou Desktop, par exemple. 

À noter : il est mentionné « Windows Insiders Only », n’en tenez pas compte, l’UI n’est pas à jour 😉 

Ensuite, sélectionnez le groupe de déploiement dans Intune et let’s go ! 

L’expérience utilisateur dans Personal Data Encryption 

Lorsque la stratégie est appliquée sur le poste de travail, les dossiers où vous avez activé Personal Data Encryptions se verront apposer une icône avec un cadenas jaune, preuve de la sécurisation de leurs données. 

Si un autre utilisateur essaye d’accéder aux données stockées dans un de ces répertoires, il recevra un message lui indiquant qu’il n’a pas les autorisations d’y accéder. 

Preuve que seul l’utilisateur est propriétaire de ces données.  

Conclusion sur Personal Data Encryption dans Windows 11 

Dans un paysage IT où la menace sécurité est de plus en plus présente, Microsoft propose, à travers Personal Data Encryption, une nouvelle fonctionnalité pour sécuriser les données des utilisateurs.  

La mise en place étant assez simple pour un bénéfice immédiat, si votre environnement respecte les prérequis, n’hésitez pas à le faire et à offrir une couche de sécurité supplémentaire à vos utilisateurs et à votre organisation !