Mettre en place le chiffrement BitLocker sur Windows 10/11 : tutoriel complet

BitLocker est la solution de chiffrement intégrale de disque fournie par Microsoft avec les éditions Pro, Enterprise et Education de Windows 10 et 11. Il protège vos données contre les accès non autorisés en cas de vol ou de perte de votre appareil. Ce guide complet vous explique comment déployer BitLocker aussi bien sur un poste autonome qu’en environnement d’entreprise avec Active Directory.

---

Prérequis

• Windows 10/11 Professionnel, Enterprise ou Education
• Une puce TPM 2.0 (recommandé) ou TPM 1.2
• Droits Administrateur sur la machine
• Pour le déploiement en entreprise : Active Directory ou Azure AD

Note : BitLocker peut fonctionner sans TPM en utilisant un code PIN ou une clé USB au démarrage, mais cette configuration est moins pratique pour les utilisateurs finaux.

---

Étape 1 — Vérifier la compatibilité du système

Avant d’activer BitLocker, vérifiez que votre matériel est compatible :

# Vérifier la présence et l'état du TPM
Get-Tpm

# Résultat attendu :
# TpmPresent     : True
# TpmReady       : True
# TpmEnabled     : True
# TpmActivated   : True

# Vérifier le statut BitLocker sur tous les volumes
Get-BitLockerVolume

# Vérifier si Secure Boot est activé
Confirm-SecureBootUEFI

Si TpmPresent retourne False, vous devez activer le TPM dans le BIOS/UEFI de votre machine.

Activer le TPM dans le BIOS (si nécessaire) :

1. Redémarrez et entrez dans le BIOS (touche F2, F10, DEL selon le fabricant)
2. Cherchez “Security” → “TPM Configuration”
3. Pour Intel : activez “Intel PTT”
4. Pour AMD : activez “AMD fTPM”
5. Sauvegardez et redémarrez

---

Étape 2 — Sauvegarder les données critiques

Attention : Bien que BitLocker soit fiable, il est impératif de sauvegarder vos données importantes AVANT d’activer le chiffrement. Une erreur lors du processus (coupure de courant, erreur matérielle) pourrait rendre les données inaccessibles.

Effectuez une sauvegarde complète via :

• Windows Backup (Paramètres → Comptes → Sauvegarde Windows)
• Historique des fichiers sur un disque externe
• Une sauvegarde dans le cloud (OneDrive, Azure Backup)

---

Étape 3 — Activer BitLocker via l’interface graphique

Méthode 1 : Via l’Explorateur de fichiers

1. Ouvrez l’Explorateur de fichiers
2. Faites un clic droit sur le lecteur C: (ou le lecteur à chiffrer)
3. Sélectionnez “Activer BitLocker”
4. L’assistant BitLocker s’ouvre

Méthode 2 : Via le Panneau de configuration

1. Ouvrez le Panneau de configuration
2. Allez dans “Système et sécurité” → “Chiffrement de lecteur BitLocker”
3. Cliquez sur “Activer BitLocker” à côté du lecteur souhaité

---

Étape 4 — Configurer la méthode de déverrouillage

L’assistant vous propose plusieurs méthodes de déverrouillage :

Pour le lecteur système (C:) avec TPM :

• TPM uniquement : déverrouillage automatique au démarrage (le plus transparent pour l’utilisateur)
• TPM + Code PIN : sécurité renforcée, demande un code PIN au démarrage
• TPM + Clé USB : déverrouillage par clé USB au démarrage

Recommandation entreprise : Utilisez TPM + Code PIN pour les postes nomades (ordinateurs portables) et TPM uniquement pour les postes fixes.

Pour les lecteurs de données et amovibles :

• Mot de passe : protège avec un mot de passe (choix le plus courant)
• Carte à puce : pour les environnements avec infrastructure PKI

Choisissez votre méthode, saisissez et confirmez votre code PIN/mot de passe, puis cliquez sur Suivant.

---

Étape 5 — Sauvegarder la clé de récupération

C’est l’étape la plus critique. BitLocker génère une clé de récupération de 48 chiffres indispensable si le TPM détecte une modification du matériel ou si vous oubliez votre code PIN.

Vous avez plusieurs options de sauvegarde :

1. “Enregistrer dans votre compte Microsoft” — synchronisé dans le cloud (pratique pour usage personnel)
2. “Enregistrer sur une clé USB” — stockage physique sécurisé
3. “Enregistrer dans un fichier” — à sauvegarder sur un emplacement réseau sécurisé
4. “Imprimer la clé de récupération” — copie papier à conserver dans un coffre

Attention : Ne stockez JAMAIS la clé de récupération sur le même lecteur que vous chiffrez. En environnement AD, la clé est automatiquement sauvegardée dans Active Directory — vérifiez cette option dans les paramètres GPO.

# Sauvegarder la clé de récupération dans Active Directory
$BitLockerVolume = Get-BitLockerVolume -MountPoint "C:"
$RecoveryProtector = $BitLockerVolume.KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $RecoveryProtector.KeyProtectorId

Sélectionnez votre méthode de sauvegarde et cliquez sur Suivant.

---

Étape 6 — Choisir la méthode de chiffrement

L’assistant vous propose deux options :

1. “Chiffrer uniquement l’espace disque utilisé” — plus rapide, recommandé pour les nouveaux disques
2. “Chiffrer l’intégralité du lecteur” — plus long mais recommandé pour les disques avec données existantes

Astuce : Pour un nouveau PC ou une installation propre de Windows, choisissez l’option 1 (espace utilisé uniquement). Pour un PC en service avec des données existantes, choisissez l’option 2 pour effacer les espaces libres contenant potentiellement des données récupérables.

Cliquez sur Suivant.

---

Étape 7 — Sélectionner le mode de chiffrement

Windows propose deux algorithmes :

• “Nouveau mode de chiffrement (XTS-AES 128 bits)” — pour les disques fixes, plus sécurisé
• “Mode compatible (AES-CBC 128 bits)” — pour les lecteurs amovibles utilisés sur d’anciennes versions de Windows

Choisissez “Nouveau mode de chiffrement” pour le lecteur système, puis cliquez sur Suivant.

---

Étape 8 — Lancer le chiffrement

1. L’assistant vous invite à exécuter la vérification du système BitLocker avant le chiffrement — cochez cette option
2. Cliquez sur “Continuer” puis “Redémarrer maintenant”
3. Le système redémarre et vérifie que BitLocker peut déchiffrer correctement avant de commencer
4. Après redémarrage, le chiffrement démarre en arrière-plan

Surveiller la progression :

# Surveiller la progression du chiffrement
Get-BitLockerVolume -MountPoint "C:" | Select-Object VolumeStatus, EncryptionPercentage

# Résultat pendant le chiffrement :
# VolumeStatus           EncryptionPercentage
# EncryptionInProgress   45

# Résultat une fois terminé :
# FullyEncrypted         100

Le chiffrement peut prendre de 30 minutes à plusieurs heures selon la taille du disque et les performances de la machine. Vous pouvez continuer à utiliser le PC pendant cette opération.

---

Étape 9 — Déploiement via PowerShell (pour les administrateurs)

Pour déployer BitLocker sur plusieurs machines, utilisez PowerShell :

# Script de déploiement BitLocker complet
param(
    [string]$MountPoint = "C:",
    [string]$PinCode = "123456",  # Remplacez par votre PIN
    [switch]$BackupToAD = $true
)

# Vérifier le TPM
$TPM = Get-Tpm
if (-not $TPM.TpmReady) {
    Write-Error "TPM non disponible ou non initialisé"
    exit 1
}

# Convertir le PIN en SecureString
$SecurePin = ConvertTo-SecureString $PinCode -AsPlainText -Force

# Activer BitLocker avec TPM + PIN
Enable-BitLocker `
    -MountPoint $MountPoint `
    -EncryptionMethod XtsAes256 `
    -UsedSpaceOnly `
    -TpmAndPinProtector `
    -Pin $SecurePin

# Ajouter un protecteur de récupération
Add-BitLockerKeyProtector `
    -MountPoint $MountPoint `
    -RecoveryPasswordProtector

# Sauvegarder dans Active Directory
if ($BackupToAD) {
    $Volume = Get-BitLockerVolume -MountPoint $MountPoint
    $RecoveryKey = $Volume.KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}
    Backup-BitLockerKeyProtector -MountPoint $MountPoint -KeyProtectorId $RecoveryKey.KeyProtectorId
    Write-Host "Clé de récupération sauvegardée dans Active Directory" -ForegroundColor Green
}

Write-Host "BitLocker activé avec succès sur $MountPoint" -ForegroundColor Green

---

Étape 10 — Déploiement via GPO en entreprise

Pour forcer l’activation de BitLocker sur tous les postes via Active Directory :

1. Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc)

2. Créez une nouvelle GPO : “GPO-BitLocker-Postes”

3. Éditez la GPO et naviguez vers :
   Configuration ordinateur → Modèles d'administration → Composants Windows → Chiffrement de lecteur BitLocker → Lecteurs du système d'exploitation

4. Configurez les paramètres suivants :

   • “Exiger une authentification supplémentaire au démarrage” : Activé, cochez “Autoriser BitLocker sans TPM compatible”
   • “Choisir le niveau de chiffrement et puissance du chiffrement” : AES-256 bits XTS
   • “Choisir comment les clés de récupération BitLocker peuvent être récupérées” : Sauvegarder dans AD DS

# Vérifier les clés de récupération dans Active Directory
# (Exécuter sur un DC)
Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} `
    -Properties msFVE-RecoveryPassword, WhenCreated |
    Select-Object Name, msFVE-RecoveryPassword, WhenCreated

---

Dépannage courant

BitLocker demande la clé de récupération au démarrage :

REM Récupérer l'ID du protecteur
manage-bde -protectors -get C:

REM Déverrouiller avec la clé de récupération
manage-bde -unlock C: -RecoveryPassword 123456-789012-...

Désactiver BitLocker temporairement :

# Suspendre BitLocker (pour une mise à jour BIOS par exemple)
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

# Désactiver complètement BitLocker (déchiffrement)
Disable-BitLocker -MountPoint "C:"

Astuce : La suspension de BitLocker est recommandée avant toute mise à jour du BIOS/UEFI ou modification matérielle pour éviter que BitLocker demande la clé de récupération au prochain démarrage.

---

Résumé des commandes manage-bde

---

Conclusion

BitLocker est maintenant configuré et protège vos données sensibles contre les accès non autorisés. La clé de récupération est sauvegardée en lieu sûr et, en environnement d’entreprise, accessible depuis Active Directory. Pensez à documenter votre déploiement BitLocker et à former vos utilisateurs sur la procédure de récupération en cas de blocage au démarrage.