Dois-je chiffrer l'intégralité de mon disque dur, ou seulement une partition?
J'ai un ordinateur portable HP Pavilion doté d'un disque dur de 1 To. J'exécute Windows 10 dessus.
Si au lieu de crypter complètement le disque dur ou de crypter la partition sur laquelle Windows est installé, je crypte simplement une partition où je stocke mes informations sensibles, cela augmentera-t-il les chances de vol de mes données (par rapport aux autres alternatives) si mon appareil est volé?
Je ne veux pas crypter tout mon disque dur car cela prendra beaucoup de temps. Crypter 150 Go prend 10 heures.
Les deux solutions sont acceptables mais présentent des avantages et des inconvénients différents.
Cryptage complet du disque:
Avantages: vous n'avez aucun risque de fuite de certaines données sensibles dans une partition non cryptée
Inconvénients: si les choses tournent mal, le disque complet devient illisible et vous devrez essayer de récupérer/réinstaller à partir d'un support de démarrage amovible: n'oubliez pas de le construire et de le stocker en toute sécurité
Partition (s) chiffrée (s):
Inconvénients: si vous ne cryptez qu'une partition de données, les données sensibles peuvent se terminer par des fichiers temporaires ou échanger un fichier dans une partition non cryptée
Avantages: si les choses tournent mal, les partitions non chiffrées seront plus faciles à récupérer
Voici mes conseils (subjectifs):
Si vous avez une partition de récupération sur votre disque, celle-ci ne doit pas être cryptée, mais vous devez crypter toutes les partitions Windows que ce soit le système ou les données si vous voulez être super sûr, ou uniquement la partition de données sensibles si vous pouvez accepter qu'un attaquant pourrait trouver des traces dans des fichiers temporaires ou d'échange.
Alternativement, vous pouvez créer un (ensemble de) données de récupération amovibles et utiliser le chiffrement complet du disque.
Le temps de cryptage initial n'a pas vraiment d'importance à mon humble avis. Cela n'arrive qu'une seule fois. Mais 10 heures pour 150 Go semblent plutôt bizarres. Le débit io du disque SATA devrait permettre environ 100 Mo/s, donc le chiffrement de 150 Go ne devrait pas dépasser quelques heures.
Chiffrez le disque entier. Les frais généraux sont négligeables et vous n'avez pas à vous soucier du vol de votre ordinateur et de la possession de toutes vos données. Et si vous devez envoyer votre ordinateur en réparation, vous n'avez pas à vous soucier des fichiers volés ou des applications compromises.
Un autre avantage est que toutes les données sont cryptées par défaut, vous n'avez donc pas besoin de garder un processus mental de copie des données sensibles de la partition non protégée vers la partition protégée. Et si vous avez besoin d'une double protection, créez un volume VeraCrypt et utilisez-le.
L'un des avantages du chiffrement uniquement d'une partition par rapport à l'ensemble du lecteur est que vous pouvez chiffrer/déchiffrer la partition tout en utilisant le système pour d'autres tâches, vous pouvez donc le chiffrer "à la demande" pour ainsi dire, mais si vous chiffrez le disque entier, il est déchiffré chaque fois que vous démarrez et authentifiez le système.
En termes de sécurité, comme vous le dites, si la machine est volée, je dirais qu'il n'y a pas beaucoup de différence entre FDE et une partition chiffrée dans un tel scénario. Si vous utilisez un cryptage fort sur votre partition, il est très peu probable que vos données soient compromises.
Je dirais qu'il y a un avantage à utiliser une partition/un dossier chiffré par rapport à FDE si vous ne le déchiffrez que lorsque vous devez accéder ou stocker des informations sensibles et les chiffrer à nouveau lorsque vous avez terminé, afin de ne pas quitter le système de fichiers dans un état non chiffré tout le temps lorsque vous êtes connecté, comme ce serait le cas avec uniquement FDE.
C'est un sujet controversé, mais dans votre cas, lorsque vous êtes en mesure de définir clairement quels fichiers sont des "informations sensibles", j'irais avec le chiffrement partiel.
Utilisez un outil comme Veracrypt , qui permet de maintenir un conteneur chiffré, qui peut être monté à la demande. Alors,
- décryptez et accédez à vos données uniquement lorsque cela est nécessaire, ce qui donne une exposition minimale à vos données.
- sauvegardez-le régulièrement en sauvegardant uniquement ce conteneur.
Cela n'exclut pas une inscription supplémentaire sur tout le disque, au cas où vous choisiriez ultérieurement de l'avoir également.
Le problème est que lorsque vous laissez la partition Windows non cryptée, vous aurez également un fichier d'échange non crypté (où Windows stocke la mémoire des applications en cas de manque de RAM) et un fichier d'hibernation (où Windows vide le RAM Lorsque vous travaillez avec des données confidentielles stockées sur votre disque dur crypté, leur contenu peut se retrouver dans ces fichiers.
Il existe également d'autres emplacements sur le lecteur système où des données confidentielles peuvent apparaître (en fonction des informations que vous considérez confidentielles, bien sûr). Une chose que je voudrais toujours être chiffrée est le C:\Users, car toutes sortes d'applications l'utilisent pour stocker des fichiers temporaires (et pas si temporaires). Chaque fois que vous affichez ou modifiez un fichier confidentiel, le logiciel que vous utilisez pour afficher peut stocker des informations sur ce fichier dans votre répertoire utilisateur. Lorsque vous êtes sûr que vous n'utiliserez que des programmes pour travailler avec des fichiers confidentiels où vous savez qu'ils ne le feront jamais, alors cela pourrait ne pas être un problème. Mais êtes-vous vous en êtes sûr?
Et d'ailleurs, tous les navigateurs Web que je connais y stockent leurs cookies et leur historique. Je dis juste.
Si vous souhaitez minimiser la quantité de volumes chiffrés, je vous recommande d'utiliser 3 partitions:
- La partition système Windows (chiffrée, déchiffrée au démarrage)
- Données confidentielles (cryptées, décryptées lorsque vous en avez besoin)
- Données non confidentielles (non cryptées)
Mais il pourrait être plus pratique à long terme de simplement mordre la balle et de crypter le disque entier. Exécutez simplement le processus de cryptage initial pendant la nuit.
Sans avoir plus d'informations sur l'application, FDE est toujours le pari le plus sûr. Cependant, pour des données moins critiques et des attaquants peu sophistiqués, une partition chiffrée ou un disque dur virtuel est probablement suffisant.