SOC managé - surveillance continue  ·  veille cyber : CERT-FR / CISA / NVD  ·  réponse à incident en priorité
Toutes les actualités

Gouvernance · Guide

MFA : pourquoi l'authentification multifacteur n'est plus optionnelle.

La grande majorité des intrusions commence par un identifiant volé : mot de passe hameçonné, réutilisé, deviné ou racheté sur un marché criminel. Tant que l'accès ne repose que sur « un login et un mot de passe », il suffit d'une fuite pour ouvrir la porte. L'authentification multifacteur (MFA) casse cette logique, et c'est aujourd'hui l'une des mesures au meilleur rapport effort/protection.

Le MFA, en une phrase

Le MFA exige au moins deux preuves d'identité de natures différentes parmi : quelque chose que l'on sait (mot de passe), quelque chose que l'on possède (téléphone, clé de sécurité), quelque chose que l'on est (empreinte, visage). Même si le mot de passe fuite, l'attaquant lui manque le second facteur. C'est pourquoi le MFA bloque l'écrasante majorité des attaques automatisées sur les comptes.

Tous les MFA ne se valent pas

Du plus faible au plus robuste :

  • Code par SMS : mieux que rien, mais vulnérable à l'interception et au détournement de numéro. À éviter pour les comptes sensibles.
  • Application d'authentification (codes à usage unique ou notifications) : bon niveau, largement suffisant pour la plupart des usages.
  • MFA résistant à l'hameçonnage (clés FIDO2, passkeys) : le plus solide. La preuve est liée cryptographiquement au vrai site, donc inutilisable sur une fausse page de connexion. Recommandé pour les accès à privilèges.
La lassitude aux notifications, une faille humaine

Une attaque courante consiste à bombarder l'utilisateur de demandes de validation jusqu'à ce qu'il approuve par fatigue ou par erreur. Parade : privilégier la validation par correspondance de numéro plutôt que le simple « Approuver », sensibiliser les équipes, et passer au MFA anti-hameçonnage sur les comptes critiques.

Par où commencer

Inutile de tout activer d'un coup. Déployez d'abord le MFA là où une compromission fait le plus de dégâts :

  • La messagerie (point d'entrée n°1 et clé de réinitialisation de tout le reste).
  • Les accès distants : VPN, bureaux à distance, connexions externes.
  • Les comptes à privilèges et les consoles d'administration (cloud, annuaire, sauvegardes).
  • Les applications métier exposées et les outils SaaS sensibles.

Le MFA n'est pas une baguette magique

Il réduit fortement le risque, mais il s'inscrit dans un ensemble : mots de passe longs et uniques (idéalement via un gestionnaire), suppression des comptes dormants, revue des accès à privilèges, journalisation des connexions et détection des comportements anormaux. Le MFA ferme la porte la plus utilisée ; encore faut-il surveiller les autres.

Généraliser le MFA sans bloquer les équipes

Kenawek vous aide à prioriser, choisir la bonne technologie et déployer le MFA là où il compte, sans friction inutile. Parlons-en.

Sources