Guides & Bonnes pratiques

Authentification multi-facteur (MFA) : le guide complet pour les entreprises

Le MFA est l'une des mesures de sécurité les plus efficaces contre les compromissions de comptes. Découvrez les différentes méthodes, leurs forces et faiblesses, et comment les déployer.

Mathieu Rutick · · 8 min de lecture
Authentification multi-facteur (MFA) : le guide complet pour les entreprises
Sommaire

Selon Microsoft, l’authentification multi-facteur (MFA) bloque 99,9% des attaques automatisées sur les comptes. Malgré cette efficacité spectaculaire, une proportion alarmante d’entreprises ne l’a toujours pas déployée, ou l’a déployée de manière incomplète. Lors de nos tests d’intrusion, l’absence de MFA sur les comptes critiques reste l’une des failles les plus fréquemment exploitées pour obtenir un accès initial au système d’information.

Ce guide vous accompagne dans la compréhension, le choix et le déploiement du MFA dans votre entreprise.

Qu’est-ce que l’authentification multi-facteur ?

L’authentification multi-facteur est un mécanisme de sécurité qui exige la présentation d’au moins deux preuves d’identité distinctes avant d’accorder l’accès à un compte ou un système. Ces preuves doivent provenir de catégories différentes :

  • Ce que vous savez (facteur de connaissance) : mot de passe, code PIN, question secrète
  • Ce que vous avez (facteur de possession) : smartphone, clé de sécurité physique, carte à puce
  • Ce que vous êtes (facteur biométrique) : empreinte digitale, reconnaissance faciale, iris

L’intérêt fondamental du MFA est qu’un attaquant qui compromet un seul facteur (par exemple en volant un mot de passe via un phishing) ne peut pas accéder au compte sans les autres facteurs. Cela complique considérablement les attaques et rend les compromissions de masse quasi impossibles.

Les différentes méthodes de MFA

SMS / Appel téléphonique

Comment ça fonctionne : après avoir entré votre mot de passe, vous recevez un code à 6 chiffres par SMS ou appel vocal que vous devez saisir pour valider la connexion.

Avantages :

  • Simple à déployer et à utiliser
  • Ne nécessite aucune application supplémentaire
  • Fonctionne sur tous les téléphones, même basiques
  • Familier pour la plupart des utilisateurs

Faiblesses :

  • SIM swapping : un attaquant peut convaincre l’opérateur de transférer votre numéro sur une nouvelle carte SIM
  • Interception SS7 : le protocole SS7 utilisé par les réseaux télécoms présente des vulnérabilités connues qui permettent d’intercepter les SMS
  • Phishing en temps réel : l’attaquant peut demander le code via un faux site et le relayer immédiatement vers le vrai service
  • Dépendance au réseau : pas de code si pas de couverture réseau

Verdict : le SMS est le MFA le plus faible mais il reste nettement meilleur que l’absence de MFA. À utiliser uniquement si aucune autre option n’est disponible.

Applications TOTP (Google Authenticator, Microsoft Authenticator, Authy)

Comment ça fonctionne : une application installée sur votre smartphone génère un code à 6 chiffres qui change toutes les 30 secondes. Ce code est calculé à partir d’un secret partagé et de l’heure actuelle (algorithme TOTP — Time-based One-Time Password, RFC 6238).

Avantages :

  • Fonctionne hors ligne : pas besoin de réseau pour générer le code
  • Résistant au SIM swapping : le code est généré localement sur l’appareil
  • Gratuit : les applications authenticator sont toutes gratuites
  • Standard ouvert : compatible avec la quasi-totalité des services en ligne
  • Pas de dépendance opérateur : pas de risque lié au réseau télécom

Faiblesses :

  • Phishing en temps réel : comme le SMS, un attaquant avec un proxy inverse (Evilginx, Modlishka) peut intercepter le code TOTP en temps réel
  • Perte de l’appareil : si vous perdez votre téléphone sans avoir sauvegardé les secrets, vous perdez l’accès
  • Migration complexe : changer de téléphone nécessite de reconfigurer tous les comptes (sauf avec Authy ou une sauvegarde cloud)

Verdict : recommandé comme solution standard pour la majorité des utilisateurs. Supérieur au SMS sur tous les plans.

Notifications push (Microsoft Authenticator, Duo, Okta Verify)

Comment ça fonctionne : au lieu de saisir un code, vous recevez une notification push sur votre smartphone vous demandant d’approuver ou de refuser la connexion. Certaines implémentations ajoutent un number matching (vous devez saisir un numéro affiché à l’écran) pour résister aux attaques de fatigue MFA.

Avantages :

  • Expérience utilisateur optimale : un simple tap pour approuver
  • Number matching : résiste aux attaques de fatigue MFA (bombardement de notifications)
  • Contexte affiché : l’application montre la géolocalisation et l’appareil qui demande l’accès
  • Plus rapide que la saisie d’un code

Faiblesses :

  • MFA fatigue (sans number matching) : un attaquant peut bombarder l’utilisateur de notifications jusqu’à ce qu’il approuve par lassitude
  • Nécessite une connexion Internet sur le smartphone
  • Dépendance au fournisseur : lié à l’écosystème du fournisseur (Microsoft, Duo, etc.)
  • Vulnérable au phishing dans certaines implémentations (sans number matching)

Verdict : excellente option si le number matching est activé. Sans number matching, peut être contourné par une attaque de fatigue MFA.

Clés de sécurité FIDO2 / WebAuthn (YubiKey, Google Titan, SoloKeys)

Comment ça fonctionne : une clé physique (USB, NFC ou Bluetooth) contient une paire de clés cryptographiques. Lors de la connexion, le navigateur communique avec la clé via le protocole WebAuthn. La clé signe un challenge cryptographique qui prouve votre identité sans jamais transmettre de secret.

Avantages :

  • Résistant au phishing : le protocole vérifie automatiquement l’origine du site (domaine). Un faux site ne peut pas déclencher la clé
  • Aucun secret partagé : la clé privée ne quitte jamais le dispositif
  • Rapide : toucher la clé ou la présenter en NFC suffit
  • Standard ouvert : supporté par tous les navigateurs modernes et de plus en plus de services
  • Pas de batterie (pour les clés USB/NFC)

Faiblesses :

  • Coût : entre 25 et 70 euros par clé, et il est recommandé d’en avoir deux (une de secours)
  • Compatibilité : tous les services ne supportent pas encore FIDO2/WebAuthn
  • Perte/oubli : si vous oubliez votre clé, vous ne pouvez pas vous connecter
  • Formation : les utilisateurs doivent comprendre le fonctionnement
  • Gestion du parc : dans une entreprise, il faut gérer la distribution, le remplacement et la révocation des clés

Verdict : la solution la plus sécurisée. Recommandée pour les comptes à haut privilège (administrateurs, dirigeants, accès financiers). C’est la seule méthode véritablement résistante au phishing.

Le MFA résistant au phishing : pourquoi c’est important

Les attaques de phishing modernes sont capables de contourner le MFA traditionnel (SMS et TOTP). Les outils comme Evilginx2 ou Modlishka fonctionnent comme des proxy inverses transparents :

  1. L’attaquant crée un faux site identique au vrai (par exemple, microsft-login.com)
  2. La victime entre ses identifiants sur le faux site
  3. Le proxy relaye les identifiants en temps réel vers le vrai site
  4. Le vrai site demande le code MFA
  5. Le proxy affiche la demande de code MFA à la victime
  6. La victime entre son code TOTP ou approuve la notification push
  7. Le proxy capture le cookie de session authentifié

Résultat : l’attaquant dispose d’une session authentifiée valide, malgré le MFA.

Les clés FIDO2 sont immunisées contre cette attaque car le protocole WebAuthn vérifie automatiquement l’origine (domaine) du site. Si le domaine ne correspond pas exactement, la clé refuse de répondre.

C’est pourquoi les recommandations les plus récentes de l’ANSSI, du NIST et de Microsoft préconisent le déploiement de MFA résistant au phishing (FIDO2/WebAuthn) pour les comptes sensibles.

Déploiement du MFA en entreprise

Microsoft 365 / Azure AD (Entra ID)

Microsoft propose plusieurs méthodes MFA intégrées :

  • Microsoft Authenticator avec number matching (recommandé)
  • Clés de sécurité FIDO2 (pour les comptes admin)
  • Windows Hello for Business (pour les postes Windows)
  • SMS et appels vocaux (à utiliser en dernier recours)

Pour un déploiement efficace :

  1. Activez les Security Defaults ou configurez une politique d’accès conditionnel
  2. Exigez le MFA pour tous les utilisateurs, pas seulement les administrateurs
  3. Désactivez les méthodes anciennes (legacy authentication) qui ne supportent pas le MFA
  4. Déployez le number matching dans Microsoft Authenticator
  5. Utilisez des clés FIDO2 pour les comptes Global Admin et Privileged Admin

Google Workspace

Google offre un système MFA robuste :

  • Google Authenticator ou toute application TOTP
  • Invites Google (notifications push sur les appareils Android/iOS)
  • Clés de sécurité (Google Titan ou toute clé FIDO2)
  • Programme de Protection Avancée pour les utilisateurs à haut risque

Active Directory on-premise

Pour les environnements AD traditionnels, le MFA peut être déployé via :

  • Azure MFA (extension NPS) pour le VPN et les connexions RDP
  • Duo Security pour une intégration multi-plateforme
  • RSA SecurID pour les environnements d’entreprise
  • Clés de sécurité via la fonctionnalité Windows Hello for Business

Erreurs courantes à éviter

Ne protéger que certains comptes

Le MFA doit être déployé pour tous les utilisateurs, pas uniquement les administrateurs. Un compte utilisateur compromis peut servir de point d’entrée pour un mouvement latéral vers les comptes à privilèges.

Oublier les accès secondaires

Le MFA sur la messagerie ne sert à rien si le VPN, le RDP, les applications SaaS ou les portails d’administration sont accessibles sans MFA. Identifiez tous les points d’entrée de votre système d’information.

Ne pas prévoir de solution de secours

Que se passe-t-il quand un employé perd son téléphone ou sa clé de sécurité ? Prévoyez des procédures de secours :

  • Codes de récupération imprimés et stockés en lieu sûr
  • Deuxième clé de sécurité de secours
  • Procédure de vérification d’identité pour la réinitialisation du MFA

Ignorer la résistance des utilisateurs

Le déploiement du MFA échoue souvent à cause de la résistance des utilisateurs. Pour maximiser l’adoption :

  • Communiquez en amont sur le pourquoi du MFA
  • Proposez une formation pratique avec démonstration
  • Offrez un support réactif pendant la phase de déploiement
  • Déployez progressivement (département par département)

Le MFA n’est pas infaillible

Si le MFA est un rempart essentiel, il ne constitue pas à lui seul une sécurité absolue. Lors de nos tests d’intrusion, nous exploitons régulièrement des contournements MFA :

  • Tokens de session volés : après l’authentification MFA, le cookie de session peut être volé (attaque pass-the-cookie)
  • Applications legacy : certaines applications anciennes ne supportent pas le MFA et utilisent des mots de passe d’application
  • Comptes de service : les comptes techniques ne peuvent souvent pas utiliser le MFA
  • Social engineering : un attaquant peut convaincre le helpdesk de réinitialiser le MFA d’un utilisateur

C’est pourquoi le MFA doit s’inscrire dans une stratégie de sécurité globale incluant la gestion des identités, le principe du moindre privilège, la détection des comportements anormaux et les tests d’intrusion réguliers.

Le MFA est la mesure de sécurité offrant le meilleur ratio coût-efficacité. Ne tardez pas à le déployer. Chez Expert Intrusion, nous évaluons la robustesse de vos mécanismes d’authentification lors de chaque test d’intrusion et vous accompagnons dans le choix et le déploiement de la solution MFA la plus adaptée à votre contexte.

Service associé

Accompagnement Sécurité

Voir le service → Étude de cas : Accompagnement Startup SaaS →

Besoin d'un audit de sécurité ?

Contactez-nous pour évaluer la sécurité de votre infrastructure.

Nous contacter Voir les services