L'authentification multifacteurs (MFA) : la défense la plus rentable

S'il fallait choisir une seule mesure de cybersécurité à déployer dans une organisation, ce serait probablement l'authentification multifacteurs. Microsoft a publié en 2024 des chiffres édifiants : le MFA réduit de 99,9 % la probabilité qu'un compte soit compromis. Aucun autre contrôle n'offre un tel rapport coût/efficacité.

Le principe en une phrase

Le MFA repose sur la combinaison d'au moins deux facteurs parmi trois catégories :

• Quelque chose que vous savez (mot de passe, code PIN),
• Quelque chose que vous possédez (téléphone, clé physique, badge),
• Quelque chose que vous êtes (biométrie : empreinte, visage, voix).

L'intérêt : même si un attaquant vole votre mot de passe, il ne peut pas se connecter sans le second facteur.

Tous les MFA ne se valent pas

Hiérarchie 2026, du moins au plus robuste :

1. SMS — déconseillé. Vulnérable au SIM-swapping, à l'interception, et de moins en moins compatible avec les attaques modernes en temps réel.
2. Application TOTP (Authy, Microsoft Authenticator, Google Authenticator) — bon niveau, sensible au phishing en temps réel.
3. Push notification avec correspondance numérique — bon niveau, atténue la "MFA fatigue".
4. Clé physique FIDO2/WebAuthn (YubiKey, Token2) — quasi inviolable, recommandée pour les comptes à privilèges.
5. Passkeys — l'avenir, combinant ergonomie et résistance au phishing.

Pour les administrateurs et les dirigeants, la clé physique doit être la norme.

Le piège de la "MFA fatigue"

Une attaque devenue courante : l'attaquant qui possède le mot de passe envoie en boucle des notifications push. Excédé, l'utilisateur finit par valider. C'est ainsi qu'Uber, Cisco et bien d'autres ont été compromis.

Parades :

• Correspondance numérique : il faut saisir un chiffre affiché à l'écran.
• Verrouillage automatique après un certain nombre de demandes.
• Sensibilisation : aucun outil légitime ne génère des notifications répétées la nuit.

Notre article Comprendre le phishing revient sur les techniques d'ingénierie sociale associées.

Déployer sans tuer l'expérience

Une politique MFA mal pensée génère du rejet. Quelques principes :

• Single Sign-On d'abord : une authentification, un MFA, puis accès à toutes les applications.
• Trust the device : ne pas redemander le MFA sur un poste connu, dans un contexte connu.
• Whitelist des locaux : pas de MFA depuis le réseau interne sécurisé (selon politique de zero trust).
• Méthodes multiples : laisser le choix entre app, clé, biométrie selon les usages.

La sensibilisation : le complément indispensable

Le MFA technique sans sensibilisation, c'est une porte blindée laissée ouverte par mégarde. Les utilisateurs doivent comprendre :

• pourquoi le MFA n'est pas négociable,
• comment réagir à une demande de MFA non sollicitée (signaler immédiatement),
• pourquoi il faut le déployer aussi sur les comptes personnels.

La plateforme SensiWave propose des modules courts spécifiquement consacrés à l'authentification, intégrés dans les parcours de sensibilisation.

Et les comptes personnels ?

Un attaquant qui prend le contrôle de votre messagerie personnelle peut ensuite réinitialiser vos comptes professionnels (récupération de mot de passe, validation d'identité). Sensibiliser au MFA sur les comptes personnels est donc un investissement direct dans la sécurité de l'entreprise. C'est l'angle "protection personnelle" que Conscio Technologies développe dans Cyber-attaques : des conséquences personnelles.

Conclusion

Le MFA n'est pas une option, c'est un socle. Mais pour qu'il fonctionne, il faut le déployer intelligemment et le soutenir par une sensibilisation continue. Combiné à une bonne hygiène de mots de passe (voir Politique de mots de passe) et à un programme de sensibilisation cybersécurité régulier, il constitue le premier rempart contre la grande majorité des attaques.

---