La grande majorité des intrusions commence par un identifiant volé : mot de passe hameçonné, réutilisé, deviné ou racheté sur un marché criminel. Tant que l'accès ne repose que sur « un login et un mot de passe », il suffit d'une fuite pour ouvrir la porte. L'authentification multifacteur (MFA) casse cette logique, et c'est aujourd'hui l'une des mesures au meilleur rapport effort/protection.
Le MFA, en une phrase
Le MFA exige au moins deux preuves d'identité de natures différentes parmi : quelque chose que l'on sait (mot de passe), quelque chose que l'on possède (téléphone, clé de sécurité), quelque chose que l'on est (empreinte, visage). Même si le mot de passe fuite, l'attaquant lui manque le second facteur. C'est pourquoi le MFA bloque l'écrasante majorité des attaques automatisées sur les comptes.
Tous les MFA ne se valent pas
Du plus faible au plus robuste :
- Code par SMS : mieux que rien, mais vulnérable à l'interception et au détournement de numéro. À éviter pour les comptes sensibles.
- Application d'authentification (codes à usage unique ou notifications) : bon niveau, largement suffisant pour la plupart des usages.
- MFA résistant à l'hameçonnage (clés FIDO2, passkeys) : le plus solide. La preuve est liée cryptographiquement au vrai site, donc inutilisable sur une fausse page de connexion. Recommandé pour les accès à privilèges.
Une attaque courante consiste à bombarder l'utilisateur de demandes de validation jusqu'à ce qu'il approuve par fatigue ou par erreur. Parade : privilégier la validation par correspondance de numéro plutôt que le simple « Approuver », sensibiliser les équipes, et passer au MFA anti-hameçonnage sur les comptes critiques.
Par où commencer
Inutile de tout activer d'un coup. Déployez d'abord le MFA là où une compromission fait le plus de dégâts :
- La messagerie (point d'entrée n°1 et clé de réinitialisation de tout le reste).
- Les accès distants : VPN, bureaux à distance, connexions externes.
- Les comptes à privilèges et les consoles d'administration (cloud, annuaire, sauvegardes).
- Les applications métier exposées et les outils SaaS sensibles.
Le MFA n'est pas une baguette magique
Il réduit fortement le risque, mais il s'inscrit dans un ensemble : mots de passe longs et uniques (idéalement via un gestionnaire), suppression des comptes dormants, revue des accès à privilèges, journalisation des connexions et détection des comportements anormaux. Le MFA ferme la porte la plus utilisée ; encore faut-il surveiller les autres.
Kenawek vous aide à prioriser, choisir la bonne technologie et déployer le MFA là où il compte, sans friction inutile. Parlons-en.