Chiffrer, authentifier, contrôler les accès :
quoi installer pour qui et comment

Une PME peut avoir un poste durci et un navigateur configuré, mais si un disque volé est lisible, si un compte clé n'a pas de second facteur, ou si tout le monde a accès à tout — les efforts précédents perdent leur valeur. Ce guide couvre la couche identité et chiffrement : ce qu'on chiffre, comment on s'authentifie, ce qu'on permet à chaque compte.

Chiffrement — outils nommés par usage

Trois usages distincts, trois familles d'outils :

1. Chiffrement au repos — disque entier

Protège contre le vol physique du matériel (ordinateur volé dans une voiture, disque sorti d'un poste en réparation). Outils natifs de chaque OS :

• BitLocker (Windows Pro/Enterprise) — activé automatiquement sur installation fraîche de Windows 11 avec TPM 2.0 (Trusted Platform Module, puce de sécurité matérielle). Vérifier l'activation effective, conserver la clé de récupération hors du poste.
• FileVault (macOS) — à activer manuellement (Réglages système / Confidentialité et sécurité / FileVault). Sans cette étape, le disque est lisible au démontage.
• LUKS (Linux Unified Key Setup) — activé à l'installation initiale de la distribution Linux. Difficilement rétrofittable.

2. Chiffrement de volumes sensibles spécifiques

Pour des dossiers particulièrement sensibles (données clients, dossiers RH, archives comptables) qu'on veut chiffrer indépendamment du disque entier, ou pour transporter des données entre postes :

• VeraCrypt (veracrypt.fr) — logiciel libre , multi-plateforme, successeur du défunt TrueCrypt. Crée des volumes chiffrés (un fichier qui se monte comme un disque) ou chiffre des partitions entières. Audité publiquement.

3. Chiffrement de fichiers et de courriels

Pour partager un document confidentiel ou échanger un courriel signé :

• GnuPG (GNU Privacy Guard, gnupg.org) — implémentation libre du standard OpenPGP. Permet de signer numériquement un fichier (preuve d'origine), de le chiffrer pour un destinataire précis (preuve de confidentialité), ou les deux. Disponible en ligne de commande et via des extensions de client courriel (Mozilla Thunderbird intègre OpenPGP nativement depuis 2020).
• Alternative web — pour des échanges ponctuels sans déploiement de GnuPG, des services de partage chiffré (par exemple Nextcloud Talk, Tresorit Send pour transferts ponctuels) gardent la donnée chiffrée jusqu'au destinataire avec lien expirant.

4. Chiffrement en transit

Protège les données pendant qu'elles voyagent sur un réseau :

• TLS (Transport Layer Security) / HTTPS partout — exiger HTTPS sur tous les sites internes et externes. Les navigateurs récents signalent les sites HTTP comme non sécurisés. Pour les applications internes, Let's Encrypt fournit gratuitement les certificats.
• SSH (Secure Shell) — pour les connexions aux serveurs, exclusivement via clés (jamais mot de passe), idéalement avec une clé FIDO2 matérielle pour les accès administrateurs.
• VPN si justifié — pour le télétravail accédant à des ressources internes, un VPN d'entreprise (WireGuard, OpenVPN, Tailscale) chiffre le trafic. Pas une obligation universelle : si tout passe déjà par HTTPS et SSH bien configurés, le VPN devient redondant pour bien des PME.

Authentification 2026 — ce que dit le standard NIST SP 800-63B-4

Le NIST (National Institute of Standards and Technology, agence fédérale américaine) a publié en juillet 2025 la version finale du standard SP 800-63B-4 — Digital Identity Guidelines, Authentication and Authenticator Management. C'est la référence internationale en matière d'authentification numérique. Trois éléments clés utiles à une PME :

1. Passkeys et authentification résistante au hameçonnage

Une passkey est une clé cryptographique stockée localement (sur le téléphone, sur l'ordinateur, ou sur une clé matérielle) qui remplace le mot de passe. Elle n'est jamais transmise au site visité — seule une preuve cryptographique de sa possession l'est. C'est la forme la plus moderne d'authentification résistante au hameçonnage : même si l'utilisateur clique sur un faux site, la passkey ne fonctionnera pas (parce qu'elle est liée au vrai domaine).

En 2026, les passkeys sont supportées nativement par Apple (iCloud Keychain), Google (Google Password Manager), Microsoft (Authenticator), Bitwarden, 1Password, et la plupart des gestionnaires de mots de passe. Beaucoup de services grand public et professionnels les offrent comme méthode d'authentification (Google, Microsoft, GitHub, Amazon, etc.).

2. MFA — ce qui est recommandé, ce qui ne l'est plus

L'authentification multifactorielle (MFA — Multi-Factor Authentication, ou 2FA pour Two-Factor Authentication) est devenue une exigence de base pour tout compte donnant accès à des renseignements personnels. Le NIST distingue désormais explicitement :

• Recommandés — passkeys, clés matérielles FIDO2, applications d'authentification (Aegis, Authy, Google Authenticator, Microsoft Authenticator) qui génèrent des codes temporaires (TOTP — Time-based One-Time Password)
• Officiellement déconseillé — codes par SMS (OTP par SMS, One-Time Password by SMS) — vulnérables au détournement de carte SIM (SIM-swapping) et à l'interception. À ne plus utiliser pour les comptes critiques, à remplacer par une autre méthode lorsque possible
• À éviter — questions de sécurité (« nom de jeune fille de votre mère »), souvent devinables ou trouvables en ligne

3. Clés FIDO2 pour les comptes administrateurs

Les comptes administrateurs (administrateur de domaine, racine du serveur, gestionnaire de site web, comptes de console infonuagique) méritent un niveau d'authentification supplémentaire : une clé matérielle FIDO2. Trois fabricants reconnus :

• YubiKey (Yubico, yubico.com) — gamme la plus répandue, plusieurs modèles (USB-A, USB-C, NFC), prix indicatif PME autour de 60 à 90 $ CAD selon le modèle
• Token2 (token2.com) — alternative européenne open hardware
• Nitrokey (nitrokey.com) — clés FIDO2 libres (hardware + firmware), accent souveraineté

La pratique recommandée : deux clés par compte critique (une portée par l'utilisateur, une conservée dans un coffre-fort physique) pour ne pas perdre l'accès en cas de perte de la clé principale.

4. Gestionnaire de mots de passe d'entreprise

Même avec les passkeys qui montent en puissance, les mots de passe persistent pour de nombreux systèmes professionnels. Un gestionnaire d'entreprise (Bitwarden Teams, KeePass partagé via Nextcloud, 1Password Business, Dashlane Business) permet de partager des identifiants en équipe sans envoi par courriel ou par messagerie. C'est aussi le sujet traité plus en détail dans le module 5 de la Formation Habitudes numériques pour employés (volet utilisateur quotidien).

Contrôle d'accès — quatre principes structurants

Le contrôle d'accès n'est pas qu'une affaire technique — c'est d'abord une discipline d'attribution.

1. Comptes administrateur séparés des comptes utilisateur

Chaque personne ayant des droits administrateurs (sur un poste, sur un serveur, sur un service infonuagique) devrait avoir deux comptes distincts : un compte standard pour son usage quotidien (courriel, navigation, bureautique) et un compte administrateur utilisé uniquement pour les opérations qui le requièrent. Cette séparation réduit drastiquement l'impact d'un logiciel malveillant exécuté par mégarde — il s'exécute avec les droits du compte courant, pas avec les droits administrateurs.

2. Principe du moindre privilège

Chaque compte n'a accès qu'à ce qui est strictement nécessaire à sa fonction. La personne qui gère la comptabilité n'a pas besoin d'accéder aux dossiers RH. Le développeur web n'a pas besoin d'accéder aux fichiers financiers. Cette discipline est lente à instaurer dans une PME (« on s'envoie tout, c'est plus simple ») mais elle limite la surface d'attaque en cas de compromission d'un compte.

3. Journalisation des accès sensibles

Au minimum, savoir qui a accédé à quoi quand pour les ressources les plus sensibles (dossiers contenant des renseignements personnels, comptes administrateurs, consoles infonuagiques). Les journaux n'empêchent pas une attaque mais ils permettent l'enquête après coup et la démonstration de diligence sous la Loi 25.

4. Procédure de révocation immédiate au départ d'un employé

Au départ d'un employé (volontaire ou non), tous ses accès sont révoqués le jour même : comptes courriel, accès aux dossiers partagés, comptes des services infonuagiques (Microsoft 365, Google Workspace, comptes Stripe, comptes outils métier), accès physiques (cartes, badges), clés matérielles à récupérer. Cette procédure devrait exister sous forme de checklist écrite et être appliquée systématiquement, pas improvisée à chaque départ.

Articulation Loi 25 — articles 10 et 12

Pièges à éviter

En résumé

Chiffrement, authentification et contrôle d'accès forment la couche identité d'une PME bien protégée. Les outils sont accessibles (souvent gratuits ou intégrés à l'OS), les standards sont à jour (NIST SP 800-63B-4 publié en juillet 2025), la marche à suivre est documentée. Le vrai travail consiste à structurer la démarche dans le temps : chiffrement à l'installation, authentification au moindre privilège, journalisation systématique, révocation rigoureuse. C'est la couche qui démontre le plus efficacement la diligence raisonnable exigée par la Loi 25 — et celle qui sauve le plus de dossiers en cas d'incident.