Authentification multifacteur : pourquoi et comment la deployer
Le mot de passe ne suffit plus
L’authentification multifacteur (MFA) combine deux preuves d’identite differentes — mot de passe et second facteur (application TOTP, cle physique FIDO2 ou notification push) — pour bloquer 99.9% des tentatives d’acces non autorise selon Microsoft. Le deploiement se fait en trois phases : comptes critiques d’abord, generalisation a tous les collaborateurs, puis durcissement avec suppression du SMS.
82% des violations de donnees impliquent un facteur humain selon le rapport Verizon DBIR 2025. Les mots de passe voles, devines ou reutilises constituent le vecteur d’attaque le plus exploite. Un mot de passe de 8 caracteres sans complexite se casse en moins de 4 heures avec du materiel standard.
Les trois facteurs d’authentification
L’authentification repose sur trois categories de preuves :
| Facteur | Description | Exemples |
|---|---|---|
| Ce que tu sais | Information memorisee | Mot de passe, code PIN |
| Ce que tu possedes | Objet physique | Telephone, cle de securite, carte a puce |
| Ce que tu es | Caracteristique biometrique | Empreinte digitale, reconnaissance faciale |
Le MFA combine au minimum deux de ces facteurs. Un mot de passe suivi d’un code SMS utilise deux facteurs differents (savoir + possession). Deux mots de passe consecutifs ne constituent pas du MFA : ils appartiennent au meme facteur.
Methodes MFA comparees
Application d’authentification (TOTP)
Les applications comme Microsoft Authenticator, Google Authenticator ou Authy generent des codes a usage unique valables 30 secondes. Le code est calcule localement a partir d’un secret partage avec le serveur, sans connexion reseau.
Avantages : Gratuit, fonctionne hors ligne, compatible avec la majorite des services. Limites : Vulnerable au phishing en temps reel (l’attaquant intercepte le code et l’utilise immediatement). La perte du telephone sans sauvegarde des secrets bloque l’acces.
Cle de securite physique (FIDO2/WebAuthn)
Les cles comme YubiKey ou Google Titan utilisent le protocole FIDO2. L’authentification repose sur un echange cryptographique entre la cle et le serveur. Le navigateur verifie le domaine du site, ce qui rend le phishing techniquement impossible.
Avantages : Niveau de securite le plus eleve, resistant au phishing, rapide a utiliser (toucher la cle). Limites : Coût unitaire (25-70 EUR par cle), necessite un port USB ou NFC, risque de perte physique.
Notification push
Le serveur envoie une notification sur le telephone de l’utilisateur. Celui-ci approuve ou refuse la connexion en un geste. Microsoft Authenticator et Duo Security proposent ce mode.
Avantages : Experience utilisateur fluide, rapide. Limites : Vulnerable aux attaques par fatigue MFA (l’attaquant envoie des notifications repetees jusqu’a ce que l’utilisateur approuve par lassitude). Contremesure : exiger la saisie d’un nombre affiche a l’ecran (number matching).
SMS
Un code a usage unique est envoye par SMS au numero de telephone de l’utilisateur.
Avantages : Aucune application a installer, familier pour les utilisateurs. Limites : Vulnerable au SIM swapping (l’attaquant transfert le numero sur une autre carte SIM), interception technique possible, depend du reseau mobile. Le NIST deconseille le SMS comme facteur MFA depuis 2017.
Strategie de deploiement
Phase 1 : comptes critiques
Commencer par les comptes a haut privilege et les services exposes sur Internet :
- Comptes administrateurs (Active Directory, cloud, serveurs)
- Messagerie (premiere cible du phishing)
- VPN et acces distants
- Outils de gestion financiere
Ce premier perimetre couvre les vecteurs d’attaque les plus frequents avec un nombre d’utilisateurs limite. Le deploiement prend entre 2 et 5 jours pour un parc de 50 comptes privilegies.
Phase 2 : generalisation
Etendre le MFA a l’ensemble des collaborateurs sur les services principaux. L’accompagnement est critique a cette etape. Un deploiement impose sans communication genere de la resistance et des contournements.
Mesures d’accompagnement :
- Communication — Expliquer le pourquoi (protection de l’entreprise et des donnees personnelles), pas uniquement le comment
- Formation — Session de 15 minutes en petit groupe, avec manipulation de l’outil
- Support — Prevoir un canal de support dedie pendant les deux premieres semaines
- Alternatives — Proposer une methode de secours (codes de recuperation, cle de secours) pour les situations de blocage
Phase 3 : durcissement
Apres la generalisation, renforcer le dispositif :
- Migrer les utilisateurs du SMS vers une application TOTP ou une cle physique
- Activer le number matching sur les notifications push
- Imposer la reauthentification MFA pour les actions sensibles (changement de mot de passe, virement bancaire)
Pour les entreprises en phase de migration vers le cloud, integrer le MFA des la conception de la nouvelle architecture.
- Mettre en place des politiques d’acces conditionnel (bloquer les connexions depuis des pays inhabituels)
Integration technique
Fournisseurs d’identite (IdP)
Un fournisseur d’identite centralise la gestion du MFA pour tous les services de l’entreprise. Les solutions les plus deployees :
| Solution | Cible | Prix par utilisateur/mois |
|---|---|---|
| Microsoft Entra ID | Ecosysteme Microsoft 365 | Inclus dans M365 Business Premium |
| Google Workspace | Ecosysteme Google | Inclus |
| Okta | Multi-cloud, grandes entreprises | 6-15 EUR |
| Duo Security | PME, integration large | 3-9 EUR |
Le SSO (Single Sign-On) combine au MFA offre le meilleur equilibre entre securite et experience utilisateur. L’utilisateur s’authentifie une fois avec MFA et accede a tous les services autorises sans ressaisir ses identifiants. Les API REST securisees s’appuient sur ces memes fournisseurs d’identite pour gerer l’authentification programmatique.
Applications internes
Les applications internes qui ne supportent pas nativement le MFA peuvent etre protegees par un reverse proxy avec authentification (Authelia, Authentik, Keycloak). Le proxy intercepte les requetes et exige une authentification MFA avant de relayer le trafic vers l’application. Le choix de l’infrastructure d’hebergement conditionne les options disponibles pour deployer ce type de proxy.
Gestion des exceptions
Certaines situations necessitent des adaptations :
Comptes de service. Les comptes utilises par des scripts ou des applications ne peuvent pas valider un second facteur interactif. Securiser ces comptes par des certificats clients ou des tokens a rotation automatique, avec une restriction d’IP source. L’administration serveur passe souvent par ces comptes de service — les securiser en priorite.
Utilisateurs sans smartphone. Fournir une cle de securite physique. Son coût (30-50 EUR) est negligeable par rapport au risque d’un compte non protege.
Perte du second facteur. Definir une procedure de recuperation : verification d’identite par le service IT, emission d’un code temporaire, enrolement d’un nouveau facteur sous supervision. Cette procedure doit etre documentee et accessible hors des systemes proteges par MFA.
Mesurer l’efficacite
Trois indicateurs a suivre apres le deploiement :
- Taux d’adoption — Pourcentage de comptes avec MFA actif. Objectif : 100% sous 3 mois.
- Taux de blocage — Tentatives d’acces bloquees par le MFA. Un taux eleve valide l’utilite du deploiement.
- Tickets de support — Volume de demandes liees au MFA. Un pic initial est normal, la courbe doit decroître en 4-6 semaines.
Le MFA n’est pas une fin en soi. Il s’integre dans une approche Zero Trust ou chaque acces est verifie en fonction du contexte : identite, appareil, localisation, comportement. Le MFA constitue la brique fondamentale de cette architecture, au meme titre que les autres mesures decrites dans le guide proteger son entreprise des cybermenaces.