Aller au contenu principal
Guides & Bonnes pratiques

Authentification multi-facteur (MFA) : le guide complet pour les entreprises

Le MFA est l'une des mesures de sécurité les plus efficaces contre les compromissions de comptes. Découvrez les différentes méthodes, leurs forces et faiblesses et comment les déployer.

4 min de lecture
Authentification multi-facteur (MFA) : le guide complet pour les entreprises
Sommaire

En résumé : Le MFA bloque 99,9 % des attaques automatisées sur vos comptes.
L’application Authenticator est le bon choix pour la plupart des TPE/PME ; les clés physiques FIDO2 sont réservées aux comptes les plus sensibles.
Attention : les infostealers modernes peuvent contourner le MFA, il ne suffit donc pas à lui seul.

MéthodeFacilitéCoûtRésiste au phishingNiveau de sécurité
SMS / Appel⭐⭐⭐ Très simpleGratuit❌ Non🟡 Faible
Application Authenticator⭐⭐ SimpleGratuit❌ Non🟢 Bon
Clé physique FIDO2⭐ Formation requise25-70 € / clé✅ Oui🟢 Excellent

Qu’est-ce que le MFA ?

Le MFA (authentification multi-facteur) vous demande deux preuves d’identité au lieu d’une seule pour vous connecter. Par exemple : votre mot de passe (ce que vous savez) plus un code sur votre téléphone (ce que vous avez).

L’idée est simple : si un pirate vole votre mot de passe (par phishing, fuite de données ou force brute), il ne peut toujours pas se connecter sans le deuxième facteur. Selon Microsoft, cela bloque 99,9 % des attaques automatisées. L’ANSSI détaille ces principes dans ses recommandations relatives à l’authentification multifacteur et aux mots de passe.

Lors de nos tests d’intrusion, l’absence de MFA sur les accès sensibles (VPN, messagerie web, portails d’administration) reste l’une des failles les plus fréquemment exploitées pour obtenir un premier accès.

Quelle méthode choisir ?

SMS : mieux que rien mais fragile

Vous recevez un code par SMS après avoir entré votre mot de passe. C’est la méthode la plus connue mais aussi la plus faible :

  • Un pirate peut transférer votre numéro sur sa propre carte SIM (SIM swapping)
  • Les SMS peuvent être interceptés via des failles du réseau télécom
  • Un faux site peut vous demander le code et le relayer en temps réel

Verdict : utilisez le SMS uniquement si aucune autre option n’est disponible.

Application Authenticator : le bon compromis

Des applications comme Microsoft Authenticator, Google Authenticator ou Authy génèrent un code à 6 chiffres qui change toutes les 30 secondes, directement sur votre téléphone.

  • Fonctionne sans réseau : le code est généré localement
  • Résiste au SIM swapping : pas de dépendance à l’opérateur
  • Gratuit et compatible avec la quasi-totalité des services

La faiblesse reste le phishing en temps réel (un faux site qui relaie votre code). Ce type d’attaque est de plus en plus courant avec les outils disponibles aujourd’hui. C’est le choix recommandé pour la majorité des TPE/PME.

Clé physique FIDO2 : le niveau maximum

Une clé USB (type YubiKey) contient une clé cryptographique unique. Quand vous vous connectez, votre navigateur communique directement avec la clé, sans code à recopier ni secret à transmettre.

  • Immunisée au phishing : la clé vérifie automatiquement le nom de domaine du site
  • Rapide : il suffit d’appuyer sur le bouton de la clé
  • Coût : 25 à 70 € par clé (prévoir une clé de secours)

Recommandée pour les comptes à haut privilège : administrateurs, comptes financiers, dirigeants.

Attention : le MFA n’est pas infaillible

Le MFA est essentiel mais ce n’est pas un bouclier absolu. Deux menaces récentes le rappellent :

Les infostealers sont des logiciels malveillants qui infectent un poste et volent directement les cookies de session stockés dans le navigateur. Résultat : l’attaquant récupère une session déjà authentifiée, sans jamais avoir besoin de votre code MFA.
Selon le rapport Cyber Threat Perspective de 2024, ces infostealers font plus de 10 000 victimes par jour et constituent une menace majeure, y compris pour les entreprises qui ont déployé le MFA.

Le phishing en temps réel utilise des outils comme Evilginx qui se placent entre vous et le vrai site. Vous entrez vos identifiants et votre code MFA sur un faux site et l’outil les relaie instantanément et capture votre session. Seules les clés FIDO2 résistent à cette attaque.

Comment déployer le MFA dans votre entreprise

Voici les 4 étapes pour un déploiement réussi :

  1. Inventoriez vos accès. Listez tous les points d’entrée : messagerie, VPN, applications métier, cloud, portails d’administration. Le MFA sur la messagerie seule ne sert à rien si le VPN est ouvert.

  2. Activez le MFA partout. Pour tous les utilisateurs, pas seulement les administrateurs. Un compte standard compromis permet souvent un mouvement latéral vers les comptes à privilèges.

  3. Choisissez la bonne méthode par profil. Application Authenticator pour tout le monde, clé FIDO2 pour les comptes sensibles. Désactivez les méthodes anciennes (legacy authentication) qui contournent le MFA.

  4. Prévoyez le secours. Codes de récupération imprimés et stockés en lieu sûr, deuxième clé FIDO2 de secours, procédure claire de réinitialisation.

Vous souhaitez vérifier si votre MFA résiste à une vraie attaque ? Contactez-nous pour un test d’intrusion. Nous testons la robustesse de vos mécanismes d’authentification en conditions réelles.

Service associé

Pentest Web

Voir le service → Étude de cas : Pentest Web : PME e-commerce →

Besoin d'un audit de sécurité ?

Contactez-nous pour évaluer la sécurité de votre infrastructure.

Nous contacter Voir les services