1. Introduction — pourquoi protéger vos dossiers sensibles

Vos dossiers sensibles (contrats, fiches RH, clés privées, documents clients) représentent un enjeu juridique, commercial et réputationnel. Un oubli, une synchronisation mal paramétrée ou une compromission d’un compte cloud peuvent exposer des informations confidentielles. Ce tutoriel, rédigé du point de vue d’un RSSI praticien, explique pas à pas comment chiffrer, isoler, sauvegarder et gérer l’accès aux dossiers sensibles sur PC et dans le cloud, avec exemples reproductibles étape par étape. À la fin vous aurez une procédure prête à déployer.

2. Principes de sécurité à respecter

• Chiffrement au repos : chiffrez les fichiers ou conteneurs sur le disque.
• Chiffrement client-side pour le cloud : chiffrez avant d’envoyer en cloud (zero-knowledge).
• Least Privilege : donner uniquement les droits nécessaires aux utilisateurs.
• Séparation des environnements : profil « travail » vs profil « invités ».
• Gestion des clés : sauvegarde des clés/phrases de récupération, rotation, accès restreint.
• Journalisation et audits : conserver logs d’accès et synchronisation.

3. Architecture cible et options rapides

• Option A (local) : conteneur chiffré (VeraCrypt / LUKS) monté uniquement lors du travail.
• Option B (client-side cloud) : coffre chiffré (Cryptomator / rclone –crypt) synchronisé avec Dropbox/OneDrive/Google Drive.
• Option C (OS native) : BitLocker / FileVault + dossier chiffré ou EFS (Windows) — utile mais privilégier solutions client-side pour cloud.

4. Mise en œuvre étape par étape

Avant de commencer : faites une sauvegarde complète de vos données critiques sur un support externe.

A. Windows — Protéger un dossier sensible avec BitLocker (volume) ou VeraCrypt (conteneur)

1) BitLocker (chiffrement du disque/volume) — Windows Pro/Enterprise

1. Ouvrez le Panneau de configuration → cliquez sur Système et sécurité → BitLocker Drive Encryption.
2. Identifiez le lecteur que vous souhaitez chiffrer (ex : D:) → cliquez sur Activer BitLocker.
3. Choisissez Utiliser un mot de passe pour déverrouiller le lecteur → entrez un mot de passe fort → Suivant.
4. Sauvegardez la clé de récupération : choisissez Enregistrer sur un fichier (copier sur clé USB sécurisée) ou Imprimer → Suivant. NE PAS enregistrer la clé sur le même disque.
5. Choisissez le mode de chiffrement : Chiffrer l’espace utilisé uniquement (rapide) ou Chiffrer tout le lecteur (recommandé) → Suivant.
6. Démarrer le chiffrement → patienter jusqu’à la fin.

BitLocker chiffre des volumes entiers. Pour chiffrer uniquement des dossiers, utilisez VeraCrypt ou EFS.

2) VeraCrypt — conteneur chiffré (idéal pour dossiers distincts)

1. Téléchargez VeraCrypt : https://www.veracrypt.fr/en/Home.html
2. Installez le programme (suivez l’assistant d’installation).
3. Ouvrez VeraCrypt → Create Volume → sélectionnez Create an encrypted file container → Next.
4. Volume Location : cliquez Select File… → naviguez vers le dossier de stockage (ex : D:\Containers\) → entrez un nom RH_confidential.hc → Save.
5. Encryption Options : laissez par défaut (AES) → Next.
6. Volume Size : entrez la taille (ex : 10 GB) → Next.
7. Volume Password : entrez une phrase de passe forte (longue et unique) → Next.
8. Format : choisissez système de fichiers (ex : NTFS) → Format.
9. Monter le volume : dans l’interface principale choisissez une lettre libre (ex : X:) → Select File… → choisissez RH_confidential.hc → Mount → entrez la phrase de passe → OK.
10. Le volume apparaît comme lecteur X: ; copiez-y vos dossiers sensibles.
11. Démontez le volume dans VeraCrypt → Dismount quand vous avez fini.

B. Windows — EFS (Encrypting File System) — chiffrement par fichier utilisateur

EFS chiffre par compte Windows et n’est pas adapté au partage entre comptes.

1. Ouvrez Explorateur de fichiers → naviguez jusqu’au dossier → clic droit → Propriétés.
2. Cliquez Avancé… → cochez Chiffrer le contenu pour sécuriser les données → OK → Appliquer.
3. Choisissez Appliquer les modifications au dossier, sous-dossiers et fichiers → OK.
4. Exportez votre certificat EFS : Win + R → certmgr.msc → Personnel → Certificats → recherchez le certificat EFS → clic droit → Toutes les tâches→Exporter → suivez l’assistant et sauvegardez avec mot de passe sur support externe.

C. macOS — FileVault + Cryptomator pour dossiers/cloud

1) FileVault (chiffrement du disque)

1. Ouvrez Menu Pomme → Préférences Système → Sécurité et confidentialité → onglet FileVault.
2. Cliquez sur le cadenas (en bas-à-gauche) et entrez votre mot de passe administrateur.
3. Cliquez Activer FileVault.
4. Choisissez les utilisateurs autorisés à déverrouiller le disque → Continuer.
5. Notez la clé de récupération fournie (sauvegardez-la hors ligne).

2) Cryptomator (coffre client-side pour cloud)

1. Téléchargez Cryptomator : https://cryptomator.org/
2. Installez et ouvrez l’application → Create Vault → nommez le coffre (ex : Clients_Sensibles) → choisissez un emplacement local (ex : ~/Cryptomator/Clients_Sensibles) → Create.
3. Entrez une passphrase forte → Create Vault.
4. Unlock Vault → montez le coffre (il apparaît comme lecteur/montage) → glissez/déposez les dossiers sensibles dedans.
5. Configurez votre dossier Cryptomator local pour qu’il soit synchronisé avec votre client cloud (ex : Google Drive / OneDrive / Dropbox). Les fichiers synchronisés sont chiffrés côté client.

D. Linux — LUKS (volume chiffré) + VeraCrypt

1) LUKS (chiffrement de partition)

Attention : ces commandes modifient les partitions. Sauvegardez vos données.

1. Ouvrez un terminal.
2. Créez une partition ou utilisez un disque : sudo cryptsetup luksFormat /dev/sdX1 → répondez YES et entrez la passphrase.
3. Ouvrez le volume : sudo cryptsetup open /dev/sdX1 securedata
4. Formatez : sudo mkfs.ext4 /dev/mapper/securedata
5. Montez : sudo mkdir /mnt/securedata && sudo mount /dev/mapper/securedata /mnt/securedata
6. Démontez et fermez : sudo umount /mnt/securedata && sudo cryptsetup close securedata

2) VeraCrypt sur Linux : même procédure que Windows via interface ou CLI.

5. Protéger les dossiers synchronisés dans le cloud

A. Cryptomator (client-side, open-source) — synchronisation avec Google Drive / OneDrive / Dropbox

1. Installez Cryptomator (https://cryptomator.org/).
2. Create Vault → emplacement : dossier synchronisé par votre client cloud (ex : C:\Users\Alice\OneDrive\Cryptos\Clients) → créez vault.
3. Unlock vault → copiez-y les fichiers sensibles → le client cloud sync synchronisera uniquement des fichiers chiffrés.
4. Fermeture : Lock vault avant d’éteindre l’ordinateur.

B. rclone –crypt (line-tool pour automatisation)

1. Installer rclone : https://rclone.org/
2. Configurer remote cloud (rclone config) → créer un remote drive: pour Google Drive.
3. Configurer crypt remote : rclone config → new remote → type crypt → crypt_remote = drive:crypt → définir password.
4. Pour copier : rclone copy /path/to/local drivecrypt: -P — les fichiers téléversés seront chiffrés côté client.

C. OneDrive — Personal Vault (protection supplémentaire, non chiffrement client-side)

1. Ouvrez OneDrive → dans l’explorateur Windows, localisez OneDrive – Personal → Personal Vault.
2. Déplacez des fichiers sensibles dans Personal Vault → ils requièrent une deuxième authentification.

Remarque : Personal Vault ajoute une couche d’authentification mais n’offre pas le chiffrement client-side zero-knowledge ; pour cela, utilisez Cryptomator / rclone.

D. Dropbox — Smart Sync & chiffrement client (via Cryptomator)

• Utilisez Cryptomator comme coffre local dans le dossier Dropbox ; activez Smart Sync si nécessaire pour économiser de l’espace.

6. Gestion des clés, recovery et sauvegardes

A. Sauvegarder la phrase de passe / clé de récupération (procédure)

1. Imprimez la clé et stockez-la dans un coffre physique (coffre fort).
2. Ne sauvegardez jamais la passphrase en clair dans un fichier cloud sans chiffrement.
3. Utilisez un gestionnaire de mots de passe d’entreprise (Bitwarden Enterprise, 1Password Business) pour stocker la passphrase dans un coffre chiffré.
   • Exemple (Bitwarden) : connectez-vous → Organizations → Collections → New Item → sauvegardez la passphrase avec notes et permissions restreintes.
4. Documentez le processus de récupération (qui, comment, où) et testez la récupération annuellement.

B. Rotation de clés (procédure recommandée)

• Planifiez rotation tous les 12 mois ou après incident.
• Pour VeraCrypt : créez un nouveau conteneur et migrez les données, puis détruisez l’ancien en écrasant.

7. Contrôles opérationnels et bonnes pratiques

• Restreindre l’accès via ACL (NTFS) et groupes AD.
• Activer MFA sur comptes cloud.
• Désactiver sync automatique pour dossiers sensibles si vous préférez contrôle manuel.
• Journaliser les synchronisations et alertes SIEM sur accès inhabituel.
• Former les utilisateurs : phrases de passe longues (> 24 caractères) et usage d’un gestionnaire.
• Politique de sauvegarde 3-2-1 (3 copies, 2 médias, 1 offsite chiffré).

8. Scénarios concrets (procédures reproduisibles)

Scénario 1 — Dossier RH (Windows + Cloud)

1. Créer un volume VeraCrypt RH.hc (voir section 4).
2. Monter X: → copier dossier C:\RH\Confidentiel → démonter.
3. Ouvrir Cryptomator → créer vault dans OneDrive\Cryptos\RH → monter → copier RH.hc dedans → verrouiller.
4. Supprimer les copies temporaires locales et vider la corbeille.

Scénario 2 — Clés SSH privées (Linux)

1. Stocker ~/.ssh/id_rsa dans LUKS chiffré ou coffre Veracrypt.
2. Modifier ssh config pour pointer vers la clé dans /mnt/securedata/.ssh/id_rsa.
3. Montez le volume uniquement quand nécessaire et démontez après usage.

9. Checklist

• Backup complet avant tout chiffrement
• Conteneur chiffré créé (VeraCrypt / LUKS)
• Cryptomator configuré pour cloud sync
• FileVault / BitLocker activés si approprié
• Passphrases sauvegardées en coffre sécurisé
• MFA activé pour comptes cloud
• Logs de synchronisation collectés (SIEM)
• Test de récupération validé (annuel)

Conclusion

Protéger vos dossiers sensibles demande une combinaison de chiffrement technique, gestion rigoureuse des clés et processus organisationnels. Les solutions présentées (VeraCrypt, LUKS, Cryptomator, BitLocker, FileVault) couvrent la plupart des cas d’usage. Si votre organisation gère des volumes critiques (données clients, secrets industriels), je vous recommande un audit de protection des données et la mise en place d’une politique de chiffrement centralisée.

Besoin d’un audit ou d’un déploiement clé en main (chiffrement, gestion des clés, intégration SIEM) ? Contactez nos experts pour un diagnostic gratuit et un POC.

Liens externes recommandés

• VeraCrypt — site officiel : https://www.veracrypt.fr/en/Home.html
• Cryptomator — client-side encryption : https://cryptomator.org/
• BitLocker overview (Microsoft) : https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview
• FileVault (Apple Support) : https://support.apple.com/guide/mac-help/use-filevault-to-encrypt-the-startup-disk-mh17161/mac
• rclone — Documentation : https://rclone.org/
• LUKS/cryptsetup manpage : https://gitlab.com/cryptsetup/cryptsetup
• OneDrive Personal Vault : https://support.microsoft.com/onedrive/personal-vault-overview (copier/coller l’URL dans votre navigateur)