Un mot de passe seul ne protège plus rien. Les bases de données de mots de passe volés contiennent des milliards d’entrées issues de fuites sur des centaines de services. Le credential stuffing — tester ces mots de passe sur d’autres services — est entièrement automatisé.

Le MFA (authentification multi-facteur) ajoute un second verrou : même avec le bon mot de passe, l’attaquant ne peut pas entrer sans le second facteur. Ce guide couvre le déploiement concret pour un responsable IT qui déploie le MFA sur toute l’organisation.

Avant de commencer, testez la configuration email de votre domaine. Notre outil vérifie en quelques secondes si votre infrastructure est correctement protégée contre l’usurpation.

Pourquoi le MFA est la mesure de sécurité la plus efficace

Microsoft a analysé des centaines de millions de comptes compromis sur ses plateformes. Le résultat est sans ambiguïté : le MFA bloque 99,9 % des attaques automatisées par credential stuffing et brute force. Aucune autre mesure technique de cette simplicité de déploiement n’atteint ce niveau d’efficacité.

Pour comprendre pourquoi le ratio est aussi favorable, il faut comprendre comment fonctionnent la quasi-totalité des compromissions de comptes dans les PME.

Le modèle d’attaque dominant

Les attaquants achètent des listes de milliards de combinaisons email/mot de passe issues de fuites de données (LinkedIn, Adobe, Canva). Ils les testent automatiquement sur Microsoft 365, Google Workspace et les portails VPN de milliers d’entreprises en parallèle. Quand ça fonctionne, c’est parce que l’utilisateur a réutilisé un mot de passe.

Cette attaque est entièrement automatisée, peu coûteuse, et fonctionne à grande échelle. Le MFA la casse : le credential stuffing automatisé n’est pas conçu pour interagir avec un second facteur. L’attaquant obtient le bon mot de passe — et ne peut toujours pas entrer.

Ce que disent les référentiels

L’ANSSI classe le MFA parmi les mesures prioritaires de son guide d’hygiène informatique, disponible sur cyber.gouv.fr. La directive NIS2 rend obligatoire l’authentification à plusieurs facteurs pour les entités régulées. PCI-DSS v4 l’exige pour tout accès aux données de cartes bancaires. Les assureurs cyber le vérifient de plus en plus à la souscription — certains refusent de couvrir des incidents sur des comptes sans MFA.

Comparer les méthodes MFA : laquelle choisir ?

Toutes les méthodes MFA n’offrent pas le même niveau de protection. Le choix doit être adapté au profil de risque du compte.

SMS : pratique mais fragile

Le MFA par SMS envoie un code à usage unique par message texte, sans application supplémentaire. Ses limites sont documentées : le SIM swapping permet à un attaquant de transférer votre numéro sur une nouvelle SIM et de recevoir vos codes. L’interception SS7 est une autre voie d’attaque connue.

Quand l’utiliser : uniquement pour les utilisateurs qui ne peuvent pas installer d’application smartphone. C’est mieux que rien, mais à traiter comme un palier temporaire.

Application TOTP : le bon équilibre

Les applications comme Google Authenticator, Microsoft Authenticator ou Aegis génèrent un code à 6 chiffres toutes les 30 secondes, calculé localement — il ne transite jamais sur le réseau. Le TOTP n’est pas vulnérable au SIM swapping. Sa faiblesse : sur une page de phishing convaincante, l’utilisateur peut saisir son code qui est retransmis en temps réel. C’est ce que font les kits AiTM.

Pour qui : tous les employés sans accès à des systèmes critiques.

Notification push : ergonomique mais exposé à la fatigue

Les notifications push (Microsoft Authenticator, Duo Security, Okta Verify) envoient une demande d’approbation sur le téléphone — l’utilisateur appuie sur « Approuver » sans saisir de code. C’est la méthode la plus fluide. Son point faible est la fatigue MFA : un attaquant peut envoyer des dizaines de notifications en rafale jusqu’à ce que l’utilisateur approuve par lassitude. La protection est le Number Matching, décrit plus loin.

Pour qui : employés standard, avec Number Matching activé.

Clés FIDO2 : le niveau supérieur

Les clés FIDO2 sont des clés USB physiques (YubiKey de Yubico, clés Google Titan, Feitian) qui signent cryptographiquement l’authentification. Leur caractéristique unique : la clé vérifie le domaine du site avant de répondre. Sur une page de phishing qui imite outlook.com, la clé refuse de signer car le domaine ne correspond pas. Les attaques AiTM ne fonctionnent pas contre les clés FIDO2.

C’est la seule méthode MFA réellement résistante au phishing avancé. Une YubiKey entreprise coûte entre 50 et 70 € l’unité. Le standard FIDO2 est supporté nativement par Windows 11, macOS, les navigateurs modernes, Microsoft 365 et Google Workspace.

Pour qui : administrateurs système, direction, accès aux systèmes financiers — tous les comptes dont la compromission serait particulièrement grave.

Passkeys : le futur qui arrive

Les passkeys stockent la clé cryptographique dans l’appareil (téléphone, ordinateur) plutôt que dans une clé USB. Microsoft, Google et Apple les supportent, avec une résistance au phishing comparable aux clés FIDO2 matérielles. Le déploiement sur des flottes gérées en entreprise est encore en maturité en 2026 — à surveiller, mais pas encore à substituer aux méthodes établies.

Déployer le MFA sur Microsoft 365

Microsoft 365 est la priorité de déploiement dans la plupart des entreprises françaises : c’est là que se concentrent la messagerie, les fichiers, Teams, et les accès aux autres services via OAuth. Notre guide de sécurisation Microsoft 365 couvre l’ensemble des paramètres — voici la séquence spécifique au MFA.

Security Defaults ou Conditional Access ?

Microsoft propose deux approches pour imposer le MFA, mutuellement exclusives.

Les Security Defaults sont actifs par défaut depuis 2020. Ils imposent le MFA à tous les utilisateurs, bloquent l’authentification héritée, protègent les administrateurs — sans configuration avancée. C’est la bonne option sans responsable IT à temps plein.

Le Conditional Access (Business Premium ou Azure AD P1) permet des règles granulaires : MFA par application, exception pour les appareils gérés Intune, blocage par pays. C’est l’approche recommandée avec un IT actif.

Les deux approches sont mutuellement exclusives. Ne désactivez jamais les Security Defaults sans avoir configuré des politiques Conditional Access équivalentes au préalable.

Activer le MFA sur Microsoft 365 : étapes

Via les Security Defaults :

Portail Azure → Microsoft Entra ID → Propriétés → Gérer les paramètres de sécurité par défaut
Passez « Activer les paramètres de sécurité par défaut » sur Oui → Enregistrer

Via le Conditional Access :

Portail Azure → Microsoft Entra ID → Sécurité → Accès conditionnel
Nouvelle stratégie → nom : « MFA pour tous les utilisateurs »
Utilisateurs : Tous les utilisateurs (excluez les comptes de service si nécessaire)
Applications cloud : Toutes les applications cloud
Contrôles d’octroi : Exiger l’authentification multifacteur
Passez la stratégie en mode Rapport uniquement pendant 7 jours pour détecter les comptes de service et les flux qui cassent avant activation

L’ordre de déploiement recommandé :

Administrateurs globaux et Exchange — en premier, risque maximal
Direction et accès aux données financières — cibles prioritaires des fraudes au président
Tous les autres employés — progressivement par service

Activer le Number Matching

Le Number Matching protège contre la fatigue MFA sur Microsoft Authenticator : l’utilisateur doit saisir un code à deux chiffres affiché à l’écran pour approuver. Un attaquant qui envoie des notifications en rafale ne peut pas s’authentifier sans que la victime soit devant son écran.

Portail Azure → Protection → Méthodes d’authentification → Microsoft Authenticator → Configurer → Number Matching : Activé.

Microsoft l’a activé par défaut sur tous les tenants en 2024 — vérifiez que votre configuration n’a pas été modifiée.

Déployer le MFA sur Google Workspace

Pour le détail complet de la sécurisation Google Workspace, consultez notre guide complet. Les étapes MFA spécifiques :

Imposer la validation en deux étapes

Connectez-vous à admin.google.com
Sécurité → Authentification → Validation en deux étapes
Activez « Autoriser les utilisateurs à activer la validation en deux étapes »
Dans « Application », sélectionnez Activée pour toute l’organisation
Définissez une date d’entrée en vigueur avec un préavis de 2 semaines

Aller plus loin : dans le même menu, vous pouvez imposer une méthode spécifique. Sélectionnez « Clé de sécurité » pour les groupes à haut risque — cela force l’utilisation de FIDO2 et désactive les méthodes moins sécurisées pour ces utilisateurs.

Désactiver les applications moins sécurisées

Les applications utilisant des protocoles anciens (IMAP, POP3 sans OAuth) contournent la validation en deux étapes. Désactivez-les : Sécurité → Authentification → Accès aux applications moins sécurisées → Désactivé. Identifiez d’abord les outils internes qui en dépendent avant d’activer.

Programme Protection Avancée pour les comptes à haut risque

Le Programme Protection Avancée de Google impose les clés FIDO2 et restreint les applications tierces. Activez-le pour les administrateurs et la direction depuis la console d’administration.

MFA pour les autres services critiques

La messagerie professionnelle est la priorité, mais d’autres surfaces d’attaque méritent le MFA.

Accès bancaires et plateforme de paiement : vérifiez que les accès bancaires utilisent le MFA et identifiez précisément qui dispose de ces droits dans votre organisation. La plupart des banques professionnelles l’imposent désormais, mais les configurations héritées méritent d’être vérifiées.

CRM et bases de données clients : un CRM comme Salesforce, HubSpot ou Pipedrive contient l’ensemble de votre base commerciale. Sa compromission peut alimenter des campagnes de phishing ciblées contre vos clients. Ces plateformes supportent FIDO2 nativement — activez le MFA depuis leurs paramètres de sécurité.

Accès cloud (AWS, Azure, GCP) : les comptes cloud sans MFA sont des cibles de choix pour le minage de cryptomonnaies et les attaques par rebond. La facture peut être considérable en quelques heures. L’activation du MFA via les politiques IAM est non négociable pour tout compte avec des droits d’administration.

VPN et accès distant : sans MFA, un mot de passe volé ouvre directement le réseau interne. Les solutions VPN courantes (Cisco, Fortinet, OpenVPN) s’intègrent avec RADIUS ou des services comme Duo Security.

Outils RH et paie : une compromission des accès Silae, Payfit ou équivalents peut permettre des détournements de virement sur les coordonnées bancaires des employés.

Gérer les résistances : convaincre les utilisateurs

Le déploiement technique du MFA est simple. La partie humaine l’est moins. Voici ce que vous allez rencontrer.

Les objections courantes et les réponses

« C’est trop compliqué » : montrez la procédure réelle — 30 secondes par connexion. Prévoyez des sessions de prise en main courtes (15 minutes par petit groupe) pour les utilisateurs les moins à l’aise avec les smartphones.

« Que se passe-t-il si je n’ai pas mon téléphone ? » : documentez la procédure de récupération avant le déploiement. Recommandez à chaque utilisateur d’enregistrer au moins deux méthodes MFA lors de la configuration initiale.

« Ça ralentit mon travail » : les sessions restent actives plusieurs heures selon la configuration. La friction est minime — le MFA n’intervient qu’à la connexion initiale ou sur un nouvel appareil.

« Le PDG ne veut pas » : les dirigeants sont des cibles prioritaires des fraudes au président et des attaques BEC. Un email depuis le vrai compte du PDG est bien plus convaincant pour demander un virement. Les clés FIDO2 suppriment la friction des codes à saisir — c’est l’argument à mettre en avant.

La stratégie de déploiement qui fonctionne

Évitez le déploiement silencieux. Les utilisateurs qui découvrent le MFA au moment de se connecter — sans avoir été prévenus — vont bloquer, appeler le support, et associer le MFA à une mauvaise expérience.

La séquence recommandée :

Annonce 2 semaines avant : email explicatif signé par la direction, avec le pourquoi (protection contre les attaques) et le quoi (ce qui va changer)
Tutoriel pas à pas : document ou vidéo courte qui montre l’installation de l’application et la première connexion
Déploiement par vagues : commencez par l’équipe IT, puis les services volontaires, puis le reste de l’organisation
Référents par département : identifiez une personne par service qui peut aider ses collègues — ça réduit significativement la charge support centrale
Délai de grâce : certaines plateformes permettent une période où le MFA est facultatif avant de devenir obligatoire — utilisez-la pour les utilisateurs lents à s’équiper

Les attaques de fatigue MFA : le vecteur émergent

La fatigue MFA est devenue l’une des techniques les plus efficaces pour contourner le MFA basé sur les notifications push. L’attaquant dispose du mot de passe, déclenche une notification push, recommence toutes les 30 secondes — parfois accompagné d’un appel téléphonique en se faisant passer pour le support IT. Uber a été compromis ainsi en 2022 : un employé a fini par approuver après un bombardement de notifications suivi d’un appel WhatsApp d’un faux support.

Se protéger contre la fatigue MFA

Number Matching : décrit plus haut pour Microsoft 365. L’équivalent existe sur Duo Security et d’autres plateformes. Activez-le systématiquement.

Contexte d’authentification : affichez dans la notification la localisation et l’application concernée. Un utilisateur parisien qui voit « Connexion depuis Kiev à 3h00 du matin » ne va pas approuver.

Limites de fréquence : configurez un plafond sur le nombre de demandes MFA par période courte. Microsoft Authenticator et Duo le supportent.

La formation reste la défense principale : un utilisateur qui comprend ce qu’est la fatigue MFA ne valide pas une demande non sollicitée. Il raccroche si quelqu’un l’appelle pour lui demander de valider. Cette compréhension s’acquiert par la pratique — les simulations de phishing peuvent inclure des scénarios de fatigue MFA pour entraîner les équipes à cette réponse réflexe.

Basculer vers FIDO2 pour les comptes critiques : les clés FIDO2 ne reçoivent pas de notifications push — la fatigue MFA ne s’applique pas. C’est un argument supplémentaire pour équiper les comptes à haut risque en priorité.

Détecter une attaque en cours

Une rafale de notifications non sollicitées est le signal d’alerte. Formez vos utilisateurs à ne jamais approuver une demande non attendue et à signaler immédiatement toute rafale à l’IT. Dans Microsoft Entra ID, configurez une alerte sur le nombre anormal de demandes MFA refusées sur un même compte — c’est souvent le premier signe visible d’une tentative de fatigue MFA.

FAQ

Quelle différence entre le MFA par SMS et une application d’authentification ?

Le SMS est vulnérable au SIM swapping (portabilité malveillante du numéro) et à l’interception SS7. Un attaquant qui contrôle votre numéro reçoit vos codes à votre place. Une application d’authentification génère les codes localement sur l’appareil, sans transit réseau — elle n’est pas exposée à ces attaques. La différence de sécurité est significative, la différence d’ergonomie est minime. Le SMS reste acceptable uniquement pour les utilisateurs qui ne peuvent pas installer d’application smartphone.

Qu’est-ce qu’une clé FIDO2 et pour qui est-elle utile ?

Une clé FIDO2 est une clé USB physique (YubiKey de Yubico, clé Google Titan) qui signe cryptographiquement l’authentification. Sa caractéristique principale : elle vérifie le domaine du site avant de répondre. Sur une page de phishing, la clé refuse de signer car le domaine ne correspond pas. C’est la seule méthode MFA réellement résistante aux attaques AiTM. Comptez 50 à 70 € par clé. Réservez-les aux comptes à haut risque : administrateurs, direction, accès financiers.

Combien de temps faut-il pour déployer le MFA dans une PME de 50 personnes ?

La configuration technique prend moins d’une heure. Le vrai temps, c’est l’accompagnement humain : communication (1 semaine), déploiement progressif (1 à 2 semaines), support des blocages (1 semaine). Comptez 3 à 4 semaines de bout en bout.

Que faire quand un employé perd son téléphone ou sa clé MFA ?

Sur Microsoft 365, réinitialisez les méthodes MFA depuis Entra ID (Utilisateurs → Méthodes d’authentification). Sur Google Workspace, la procédure est identique dans la console d’administration. Recommandez deux méthodes enregistrées par utilisateur dès le départ. Pour les clés FIDO2, attribuez-en deux par personne.

Le MFA protège-t-il contre toutes les attaques ?

Non. Le MFA bloque les attaques automatisées par credential stuffing et brute force. Il ne protège pas contre les attaques AiTM (vol de jetons de session) sauf avec des clés FIDO2. Il ne protège pas contre le phishing par consentement OAuth, ni contre un malware qui capture les sessions actives. Le MFA réduit considérablement la surface d’attaque, mais ne remplace pas les autres mesures : formation des utilisateurs, simulations de phishing, durcissement des plateformes.

La fatigue MFA est-elle vraiment un risque sérieux ?

Oui. La fatigue MFA consiste à envoyer des dizaines de notifications push jusqu’à ce que l’utilisateur approuve par lassitude — c’est ainsi qu’Uber a été compromis en 2022. La défense principale est le Number Matching : l’utilisateur doit saisir un code affiché à l’écran, rendant l’approbation par inadvertance impossible. Complétez avec la formation : un employé qui connaît cette technique refuse de valider une demande non sollicitée.

Faut-il activer le MFA sur les comptes de service et les boîtes partagées ?

Les comptes de service ne supportent généralement pas le MFA interactif. Migrez-les vers des flux OAuth modernes avec des secrets applicatifs ou des identités managées (Azure Managed Identity, comptes de service GCP). Pour les boîtes partagées Microsoft 365 ou Google Workspace : désactivez la connexion directe et forcez l’accès via des comptes nominatifs qui ont le MFA activé.

Le MFA déployé, la prochaine étape est de mesurer la résistance réelle de vos équipes face aux attaques de phishing. Lancez une simulation de phishing gratuite pour établir votre point de départ — sans engagement, résultats en moins de 24 heures.