Nombre de lecteurs : 8
L'authentification multifacteur (MFA) protège vraiment : à quand une généralisation dans les PME ?

L’authentification multifacteur (MFA) protège vraiment : à quand une généralisation dans les PME ?

Le MFA est accessible et son efficacité est prouvée. Il réduit en effet le risque de compromission de compte de 99,2 %. Pourquoi, alors, n’a-t-elle pas été largement adoptée ?

Les mots de passe restent des protections nécessaires, mais ils ne sont plus suffisants. Utiliser des phrases de passe longues, uniques et difficiles à deviner demeure une bonne pratique lorsqu’il n’existe pas d’autres moyens de protection de l’identité. Le problème survient lorsqu’un de ces mots de passe tombe entre de mauvaises mains : le système ne détecte pas une intrusion, il voit simplement une connexion légitime. À partir de ce moment, l’attaquant se déplace dans l’environnement comme n’importe quel autre utilisateur.

Il ne s’agit pas d’un scénario théorique. La campagne ciblant les clients de Snowflake en 2024 l’a clairement démontré : les attaquants ont utilisé des identifiants volés via des logiciels malveillants de type « infostealer » pour accéder à des comptes ne disposant pas de MFA. Sans mettre à profit la moindre faille. Sans aucune technique sophistiquée. Juste un nom d’utilisateur, un mot de passe, et une porte ouverte. Résultat : plus de 165 organisations compromises, parmi lesquelles des entreprises comme Ticketmaster, Santander et AT&T, selon les recherches publiées par Mandiant.

Plus près de nous en France, les fuites de données massives dont ont été victimes France Travail (l’une des cyberattaques les plus massives de l’histoire française avec pas moins de 43 millions de personnes concernées !) en 2024 puis en 2025, et plus récemment le fichier bancaire FICOBA, pour ne citer que quelques cas majeurs, auraient pu être évitées avec de la MFA. Pour le cas de France Travail, la méthode reposait sur l’exploitation de comptes partenaires compromis et des infostealers installés sur des ordinateurs personnels, dans un contexte d’absence de MFA généralisée et cela malgré les alertes depuis 2023.

Fin 2025, la Présidente de la CNIL, Marie-Laure Denis, estimait que 80 % des fuites de données de 2024 auraient pu être évitées avec la mise en place de l’authentification multifacteur. Elle a également précisé que la MFA n’est pas obligatoire en France pour des bases de plus de 2 millions de personnes, même si la CNIL souhaitait l’imposer.

Un problème d’adoption, pas de technologie

L’authentification multifacteur n’est pas nouvelle. La technologie existe, elle est accessible, et son efficacité est prouvée. Selon les chiffres de Microsoft, l’utilisation de la MFA réduit le risque de compromission de compte de 99,2 %. Pourquoi, alors, n’a-t-elle pas été largement adoptée ? L’enquête mondiale sur la MFA menée par le Cyber Readiness Institute (2024), portant sur près de 2 300 PME, révèle que près des deux tiers n’utilisent pas la MFA. Le taux d’adoption mondial se situe à seulement 35 %. Les freins les plus souvent cités sont le coût, le manque de ressources et surtout, un manque de perception du risque réel.

Ce n’est pas un problème propre aux PME. Les grandes organisations compromises lors des incidents Snowflake n’étaient pas des entreprises manquant de ressources en sécurité. C’étaient des organisations disposant d’équipes, de budgets et de programmes de cybersécurité matures, qui n’avaient simplement pas activé la MFA sur l’ensemble de leurs services.

Ce que la MFA apporte concrètement

La MFA ajoute d’autres facteurs de vérification qui empêchent un mot de passe volé d’être suffisant pour accéder à un compte. C’est le bénéfice central. Dans la pratique, cependant, l’impact va plus loin. Lorsqu’il est appliqué de manière cohérente, la MFA limite la capacité d’un attaquant à se déplacer latéralement au sein du réseau. Chaque tentative d’accès à un nouveau service ou à une nouvelle ressource nécessite une vérification supplémentaire, ce qui réduit considérablement l’impact d’une faille de sécurité.

Les solutions MFA actuelles ne se limitent pas à demander un code. Beaucoup évaluent le contexte de la demande d’accès — comme l’appareil utilisé, la localisation de l’utilisateur et le réseau auquel il se connecte — afin d’ajuster le niveau de vérification en fonction du risque réel. Cela permet de sécuriser l’accès à distance sans s’appuyer exclusivement sur les VPN ou le périmètre réseau.

D’un point de vue commercial, la MFA contribue également à la conformité avec des réglementations telles que la directive NIS2 (bientôt mise en application en France), DORA ou encore PCI DSS, qui exigent des contrôles vérifiables sur qui peut accéder aux systèmes et données sensibles. Elle démontre par ailleurs aux clients, partenaires et auditeurs que l’organisation prend la protection des identités au sérieux.

MFA et Zero Trust : protéger chaque point d’accès

Dans un modèle zero trust, aucun utilisateur n’est considéré comme fiable par défaut. Qu’il soit à l’intérieur du réseau de l’entreprise ou connecté via VPN n’a aucune importance — chaque demande d’accès est évaluée selon qui en est à l’origine et dans quelles conditions. La MFA est l’une des pierres angulaires de cette approche, car elle déplace la vérification du réseau vers l’identité.

C’est là que beaucoup d’organisations échouent : elles imposent des contrôles stricts sur les systèmes critiques mais négligent les outils du quotidien. Plateformes de collaboration, dépôts de code, outils de gestion de projet — des services qui traitent des informations sensibles et qui, dans de nombreux cas, ne sont protégés que par un nom d’utilisateur et un mot de passe.

Les incidents impliquant Snowflake, ou plus près de nous les bases de données étatiques, l’illustrent clairement : un seul service sans MFA suffit à fragiliser l’ensemble de la stratégie de sécurité. Un attaquant ne ciblera pas le point d’accès le plus protégé ; il cherchera ce qui a été laissé exposé.

Même si les experts de la cybersécurité appellent de leurs vœux la mise en place systématique d’une MFA, ces appels ne résonnent pas assez largement. Pour les TPE et PME, qui demeurent généralement les organisations les plus vulnérables aux cyberattaques, la bonne pratique MFA peut vraiment sauver. Alors, à quand le vrai réveil ?

Source : Mandiant, Cyber Readiness Institute, CNIL.

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *