Aujourd’hui, la mobilité est omniprésente dans les environnements d’entreprise comme ceux des établissements scolaires. Dans ce contexte, les appareils Apple se distinguent par les technologies de chiffrement intégrées qui protègent les données de l’organisation et la vie privée des utilisateurs.
FileVault, la solution native d’Apple pour le chiffrement intégral des disques sur Mac, protège les fichiers stockés afin d’empêcher toute personne malveillante d’accéder aux données. Lorsqu’il est activé, FileVault chiffre le contenu d’un compte Mac en utilisant les identifiants de l’utilisateur : le compte est déverrouillé lorsqu’il s’authentifie, et verrouillé à nouveau lorsqu’il se déconnecte.
Pour mieux comprendre les bases de FileVault, c’est ici.
Il existe plusieurs façons d’activer et de gérer FileVault. Nous allons voir par où commencer et nous pencher sur les nouvelles fonctionnalités qui apparaissent régulièrement. Dans cet article de blog, nous verrons comment activer le chiffrement FileVault sur les Mac avec Jamf Pro.
Pourquoi est-il important de savoir gérer FileVault ?
Si vous êtes chargé de gérer les appareils Apple d’une organisation – que ce soit avec Jamf Pro, Jamf School ou Jamf Now –, vous devez connaître et comprendre les technologies de chiffrement natives d’Apple. Surtout, vous devez comprendre leurs implications pour choisir le workflow d’activation et la méthode de déploiement appropriés.
Les administrateurs informatiques trouveront une documentation complète dans le Guide de déploiement de la plateforme Apple. Pour obtenir des informations concernant spécifiquement FileVault, consultez les sections correspondantes de la rubrique « Assurer la sécurité des appareils ».
FileVault est un aspect essentiel de la sécurité macOS, et cette fonction est d’ailleurs recommandée par les critères du Center for Internet Security (CIS). Si vous souhaitez en savoir plus sur cette liste de contrôle, nous avons un excellent livre blanc sur le sujet.
Lorsque vous activez FileVault avec Jamf Pro, les Mac de votre environnement demandent aux utilisateurs de saisir leurs identifiants pour achever le processus de démarrage. Vous pouvez utiliser Jamf pour activer FileVault sur les ordinateurs gérés à l’aide d’un profil de configuration ou d’une règle accompagnée d’une configuration de chiffrement.
Les bases du chiffrement sous macOS
Le chiffrement de macOS et la gestion de FileVault reposent sur plusieurs technologies :
- SecureToken : clé cryptographique attribuée lors de la création d’un compte et enveloppée dans le mot de passe d’un utilisateur. Requis pour qu’un utilisateur puisse utiliser FileVault.
- Jeton Bootstrap : lorsqu’un utilisateur SecureToken est créé ou se connecte, un jeton supplémentaire est confié à la MDM. Cette méthode a été introduite dans macOS 10.15.
- Propriété du volume : spécifique aux ordinateurs équipés d’une puce Apple Silicon. Permet aux utilisateurs d’accéder à la clé d’identité du propriétaire, stockée dans la Secure Enclave. Utilisée dans des fonctions telles que les mises à jour de logiciels et la gestion des anciennes extensions externes.
Déploiement de FileVault
Le Guide de déploiement de la plateforme Apple propose des scénarios de référence pour vous aider à choisir le workflow de déploiement qui convient le mieux à votre organisation.
L’utilisateur configure lui-même son Mac
- Le déploiement zero-touch reste l’approche la plus simple pour l’activation de FileVault.
Mac est approvisionné par une organisation
- Si votre administrateur informatique configure un nouvel ordinateur, c’est lui, et non le véritable utilisateur, qui recevra le jeton. Vous devez donc tenir compte de l’impact de votre déploiement sur l’état du jeton.
- Dans certains scénarios, la règle Jamf est exécutée avant la création de l’utilisateur, et le jeton peut être attribué à un autre utilisateur que celui qui est prévu.
La bonne pratique consiste à évaluer les objectifs et les résultats de votre workflow de déploiement : vous déterminerez ainsi si vous devez modifier votre méthode en comprenant qui obtient le jeton lorsque vous gérez FileVault.
Il est plus facile de mettre en place ces pratiques en amont d’un déploiement que de corriger les problèmes par la suite.
Activation de FileVault
Choisir la méthode d’activation de FileVault
Vous avez le choix entre trois grandes méthodes d’activation. Vous pouvez en utiliser plusieurs dans votre environnement, mais vous ne pouvez en appliquer qu’une seule à un ordinateur donné.
- Profil de configuration : une méthode simple et universelle. Avec cette méthode, les réglages s’installent immédiatement.
- Règle Jamf Pro : permet de personnaliser l’expérience utilisateur et la messagerie. Avec cette méthode, les réglages sont appliqués lorsque la règle est exécutée.
- Connexion Jamf Connect : à utiliser uniquement avec les nouvelles machines.
Les méthodes d’activation peuvent faire l’objet de préférences personnelles. Que vous utilisiez un profil de configuration ou une règle, l’essentiel est de veiller à conserver un accès administrateur aux privilèges cryptographiques.
Avec macOS 14.0 et les versions ultérieures, les administrateurs peuvent activer automatiquement FileVault lors de la création du compte utilisateur dans l’assistant de configuration. Pour cela, le profil de configuration doit être installé dans le cadre d’une inscription en amont. Cette approche renforce la posture de sécurité de l’appareil : en effet, FileVault est « activé » avant même que l’utilisateur final ne stocke des données dans l’ordinateur. Pour les équipes de sécurité de l’information et de conformité, c’est la garantie que les disques sont chiffrés dès le départ.
Gestion de FileVault et rapports
Il est essentiel de savoir si FileVault est bien activé ou sur quels appareils il doit l’être pour des raisons de conformité.
Les données d’inventaire de chaque machine sont riches d’enseignement :
- État du chiffrement
- Validité de la clé de récupération
- Visualisation de la clé de récupération (avec certains niveaux d’accès)
- Configuration du chiffrement des disques (s’il est activé par une règle)
Au-delà des champs d’inventaire intégrés, les administrateurs informatiques peuvent ajouter des attributs personnalisés et personnaliser les workflows de déploiement à l’aide du binaire fdesetup sur macOS.
Gestion des clés de récupération
La gestion des clés de récupération fait partie intégrante d’une gestion continue de la sécurité des appareils.
Par exemple, un utilisateur peut avoir besoin de réinitialiser son mot de passe pour accéder à nouveau à son ordinateur.
Si la clé de récupération personnelle (PRK) peut aider, la bonne pratique consiste à la renouveler après utilisation pour des raisons de sécurité. Vous pouvez définir des règles dans FileVault à ce sujet.
Pour les administrateurs, la capacité d’exporter – et donc de sauvegarder – les clés de récupération personnelles FileVault est extrêmement utile. À partir de Jamf Pro 10.43, l’attribut Clé de récupération personnelle FileVault 2 permet aux administrateurs d’identifier et exporter toutes les clés de récupération personnelles des ordinateurs gérés d’un environnement. Vous pouvez ensuite créer une sauvegarde des clés à utiliser en cas de problème.
Comme souvent quand il s’agit de FileVault, la décision prise au moment de l’installation est cruciale. Déterminez le comportement désiré, créez le workflow et laissez l’automatisation de votre MDM faire le travail à votre place.
Commencez dès aujourd’hui à utiliser Jamf Pro et profitez de toute la puissance de la gestion des appareils Apple.
S’abonner au blog de Jamf
Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.