Authentification double facteur (2FA) — définition et mise en place
L'authentification double facteur (2FA ou MFA) est un mécanisme de sécurité qui exige deux preuves d'identité distinctes pour accéder à un compte ou un système : généralement un mot de passe (ce qu'on sait) et un code temporaire (ce qu'on possède). Elle réduit drastiquement le risque de compromission de compte.
Types de second facteur
Les principaux types de second facteur sont : le SMS (code envoyé par texto, pratique mais moins sécurisé car interceptable), l'application d'authentification (Google Authenticator, Authy — génère un code TOTP toutes les 30 secondes), la clé de sécurité physique (YubiKey — la plus sécurisée), et la biométrie (empreinte, reconnaissance faciale sur mobile). Pour les PME, l'application d'authentification est le meilleur compromis sécurité/facilité.
Déploiement en PME
Priorité de déploiement : messagerie professionnelle (e-mail est le premier vecteur d'attaque), accès aux outils cloud (ERP, CRM, comptabilité), VPN et accès à distance, et outils de collaboration (Teams, Slack). Le déploiement peut être progressif. La résistance des collaborateurs est souvent la principale barrière : l'accompagnement et la communication sur l'utilité sont essentiels.
Questions fréquentes
Le 2FA par SMS est-il suffisant ?
Pour la plupart des PME, oui c'est bien mieux que sans 2FA. Mais le SMS est vulnérable aux attaques SIM swap (transfert frauduleux du numéro). Pour les accès critiques (comptabilité, direction), une application d'authentification ou une clé physique est recommandée.
Que faire si un collaborateur perd son téléphone avec l'application 2FA ?
Il faut disposer de codes de récupération d'urgence générés lors de l'activation du 2FA (à conserver en lieu sûr, hors ligne). Un administrateur peut également désactiver le 2FA pour le compte concerné depuis la console d'administration, puis le réactiver sur le nouveau device.
Le 2FA est-il obligatoire légalement ?
Pas généralement obligatoire par la loi, mais imposé par de nombreuses réglementations sectorielles (DSP2 pour les paiements, NIS2 pour les opérateurs d'importance vitale) et par les assureurs cyber comme condition de couverture. Le RGPD impose des mesures de sécurité appropriées, dont le 2FA est une composante logique.
