Qu'est-ce que l'authentification multifacteur (MFA) ?

L'authentification multifacteur (MFA) exige que les utilisateurs fournissent deux facteurs de verification independants ou plus pour acceder a un systeme ou une application. Ces facteurs proviennent de catégories differentes : quelque chose que vous connaissez (mot de passe, code PIN), quelque chose que vous possedez (cle de sécurité, telephone, carte a puce) et quelque chose que vous etes (empreinte digitale, reconnaissance faciale). Le MFA réduit considerablement le risque de compromission de compte car un attaquant doit obtenir plusieurs facteurs plutot qu'un simple mot de passe.

Quelle est la difference entre MFA et 2FA ?

L'authentification a deux facteurs (2FA) est un sous-ensemble du MFA qui utilise exactement deux facteurs. Le MFA est le terme plus large couvrant deux facteurs ou plus. En pratique, la plupart des implementations utilisent deux facteurs (2FA), mais les environnements a haute sécurité peuvent exiger trois facteurs — par exemple, un mot de passe (connaissance), une cle de sécurité materielle (possession) et une empreinte digitale (biometrie). Toute 2FA est du MFA, mais tout MFA n'est pas limite a deux facteurs.

Qu'est-ce que le MFA resistant au phishing ?

Le MFA resistant au phishing utilise des methodes d'authentification qui ne peuvent pas etre interceptees ou rejouees par des attaquants via le phishing. Les cles de sécurité FIDO2/WebAuthn et les authentificateurs de plateforme (Windows Hello, Apple Touch ID/Face ID) sont resistants au phishing car ils utilisent la cryptographie a cle publique liee au domaine legitime. Les codes SMS, les applications TOTP et les notifications push ne sont PAS resistants au phishing car ils peuvent etre interceptes via des proxys de phishing en temps reel ou le detournement de carte SIM.

Qu'est-ce que FIDO2/WebAuthn ?

FIDO2 est un standard d'authentification ouvert qui permet une authentification sans mot de passe et resistante au phishing. WebAuthn est le composant API web de FIDO2 qui permet aux sites web d'utiliser la cryptographie a cle publique pour l'authentification. Les utilisateurs s'authentifient avec des cles de sécurité materielles (YubiKey, Google Titan), des authentificateurs de plateforme (empreinte digitale, reconnaissance faciale) ou des passkeys synchronisees entre les appareils. FIDO2 est considere comme la référence en matiere de sécurité d'authentification.

Que sont les passkeys ?

Les passkeys sont une methode d'authentification sans mot de passe basee sur FIDO2 qui remplace les mots de passe par des paires de cles cryptographiques stockees sur les appareils des utilisateurs. Contrairement aux cles de sécurité traditionnelles, les passkeys peuvent etre synchronisees entre les appareils via le cloud (Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator). Elles sont resistantes au phishing, nécessitent une verification biometrique ou un code PIN de l'appareil et eliminent les risques lies aux mots de passe. Les passkeys sont prises en charge par Apple, Google et Microsoft.

Pourquoi le MFA par SMS est-il considere comme faible ?

Le MFA par SMS est vulnerable aux attaques suivantes : detournement de carte SIM (l'attaquant convainc l'operateur de transferer le numero), attaques du protocole SS7 (interception des messages SMS au niveau réseau), proxys de phishing en temps reel (l'attaquant relaie le code SMS en temps reel), ingenierie sociale (inciter les utilisateurs a partager les codes) et vol d'appareil. Bien que le MFA par SMS soit preferable a l'absence de MFA, les organisations devraient migrer vers les applications TOTP, les notifications push ou FIDO2 pour les systemes critiques.

Quels référentiels de conformité exigent le MFA ?

ISO 27001 (A.8.5 — Authentification securisee), SOC 2 (CC6.1 — Contrôles d'accès logiques), NIS2 (Article 21(2)(j) — Authentification multifacteur) et DORA (Article 9(4)(c) — Mecanismes d'authentification forte) exigent tous le MFA ou une authentification forte. NIS2 nomme explicitement le MFA comme mesure obligatoire. La plupart des référentiels exigent le MFA au minimum pour les accès privilegies, la bonne pratique etant le MFA pour tous les utilisateurs.

Comment implementer le MFA sans degrader l'experience utilisateur ?

Implementez un MFA conditionnel/adaptatif qui ajuste les exigences en fonction du risque : exigez le MFA pour les nouveaux appareils, les localisations inhabituelles ou les operations sensibles, mais permettez aux appareils de confiance de passer le MFA pour une periode configuree. Utilisez des authentificateurs biometriques (empreinte digitale, visage) pour une verification sans friction. Prenez en charge les passkeys pour une experience sans mot de passe. Fournissez un enrolement et une recuperation en libre-service. Communiquez les avantages de sécurité aux utilisateurs et proposez plusieurs options MFA.

Authentification multifacteur (MFA) : le guide complet pour les équipes conformité et sécurité

Published 8 mars 2026

By Emre Salmanoglu

Authentification multifacteur (MFA) : le guide complet pour les équipes conformité et sécurité

Decouvrez comment implementer l'authentification multifacteur conforme aux exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre les methodes MFA, FIDO2/WebAuthn, l'accès conditionnel, le MFA resistant au phishing et les preuves de conformité.

MFA

authentification

sécurité des identites

zero trust

conformité

Qu'est-ce que l'authentification multifacteur ?

L'authentification multifacteur (MFA) est un mecanisme de sécurité qui exige que les utilisateurs verifient leur identite en utilisant deux facteurs independants ou plus avant d'acceder a un systeme, une application ou des données. En combinant plusieurs facteurs d'authentification issus de differentes catégories, le MFA garantit que la compromission d'un seul identifiant (comme un mot de passe) ne suffit pas a un attaquant pour obtenir l'accès.

Le vol d'identifiants et les attaques de phishing representant la majorite des violations, le MFA est devenu un contrôle de sécurité de base exige par pratiquement tous les référentiels de conformité, y compris ISO 27001, SOC 2, NIS2 et DORA.

Types de facteurs d'authentification

Type de facteur	Catégorie	Exemples	Robustesse
Mot de passe/PIN	Quelque chose que vous connaissez	Mots de passe, codes PIN, questions de sécurité	Faible (phishing, devinable)
Code TOTP	Quelque chose que vous possedez	Google Authenticator, Authy, Microsoft Authenticator	Moyenne (phishing via proxy)
Code SMS	Quelque chose que vous possedez	Code a usage unique par SMS	Faible-Moyenne (interceptable)
Notification push	Quelque chose que vous possedez	Duo Push, notification push Microsoft Authenticator	Moyenne (sensible aux attaques par fatigue)
Cle de sécurité materielle	Quelque chose que vous possedez	YubiKey, Google Titan, Feitian	Elevee (resistant au phishing)
Biometrie	Quelque chose que vous etes	Empreinte digitale, reconnaissance faciale, scan de l'iris	Elevee (lie a l'individu)
Passkey	Quelque chose que vous possedez + etes	Identifiants FIDO2 synchronises avec deverrouillage biometrique	Elevee (resistant au phishing, sans mot de passe)

Comparaison des methodes MFA

Methode	Resistant au phishing	Experience utilisateur	Complexite de deploiement	Cout
SMS OTP	Non	Moyenne	Faible	Faible
Application TOTP	Non	Moyenne	Faible	Gratuit
Notification push	Non	Elevee	Moyenne	Licence par utilisateur
Cle de sécurité materielle	Oui	Moyenne	Moyenne	Cout materiel par cle
Biometrie de plateforme	Oui	Elevee	Faible	Integre aux appareils
Passkey	Oui	Tres elevee	Moyenne	Gratuit
Carte a puce + PIN	Oui	Faible	Elevee	Par carte + infrastructure

Politiques d'accès conditionnel

Condition	Niveau de risque	Exigence MFA
Appareil connu + localisation connue	Faible	Pas de MFA (jeton de session valide)
Appareil connu + nouvelle localisation	Moyen	MFA requis
Nouvel appareil + toute localisation	Eleve	MFA requis + enregistrement de l'appareil
Action privilegiee	Eleve	MFA renforce requis
Compte administrateur/privilegie	Critique	MFA toujours requis (resistant au phishing de preference)
Deplacement impossible detecte	Critique	MFA requis + revue de sécurité

Architecture d'implementation MFA

Composant	Fonction	Exemples
Fournisseur d'identite (IdP)	Authentification centralisee et application du MFA	Azure AD, Okta, Google Workspace, Auth0
Service MFA	Verification du second facteur	Duo, RSA SecurID, MFA integre a l'IdP
Integration SSO	Authentification unique avec MFA au niveau de l'IdP	SAML 2.0, OIDC, OAuth 2.0
Service d'annuaire	Gestion des utilisateurs et groupes pour les politiques MFA	Active Directory, LDAP, SCIM
Applications d'authentification	Generation TOTP/push cote client	Google Authenticator, Microsoft Authenticator, Authy
Serveur FIDO2	Gestion des identifiants WebAuthn	Integre aux IdP modernes

Strategie de deploiement du MFA

Phase	Actions	Calendrier
Phase 1	Activer le MFA pour tous les comptes administrateurs et privilegies	Semaine 1-2
Phase 2	Activer le MFA pour les équipes informatiques et sécurité	Semaine 3-4
Phase 3	Activer le MFA pour tous les employes accedant aux systemes sensibles	Mois 2
Phase 4	Activer le MFA pour tous les utilisateurs et collaborateurs externes	Mois 3
Phase 5	Migrer vers le MFA resistant au phishing (FIDO2/passkeys)	Mois 4-6
Phase 6	Implementer l'accès conditionnel et le MFA adaptatif	Mois 6-9

Exigences de conformité

Correspondance avec les référentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Authentification multifacteur	A.8.5	CC6.1	Art. 21(2)(j)	Art. 9(4)(c)
Contrôles d'accès privilegies	A.8.2	CC6.3	Art. 21(2)(i)	Art. 9(4)(c)
Revue des accès	A.5.18	CC6.2	Art. 21(2)(i)	Art. 9(2)
Journalisation de l'authentification	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Sécurité de l'accès distant	A.8.1	CC6.6	Art. 21(2)(j)	Art. 9(4)(c)
Politique de mots de passe	A.8.5	CC6.1	Art. 21(2)(j)	Art. 9(4)(b)

Preuves d'audit

Type de preuve	Description	Referentiel
Politique MFA	Politique documentee exigeant le MFA pour les groupes d'utilisateurs specifies	Tous les référentiels
Rapport d'enrolement MFA	Pourcentage d'utilisateurs avec MFA active par type de methode	Tous les référentiels
Regles d'accès conditionnel	Configuration des politiques MFA basees sur le risque	ISO 27001, SOC 2
Journaux d'authentification	Enregistrements montrant les demandes MFA et les resultats	Tous les référentiels
Registre d'exceptions MFA	Exceptions documentees avec acceptation des risques et dates de revue	Tous les référentiels
Audit des comptes privilegies	Preuve que tous les comptes privilegies ont le MFA active	Tous les référentiels
Documentation des procedures de recuperation	Processus de reinitialisation du MFA et de recuperation de compte	ISO 27001, SOC 2

Erreurs courantes

Erreur	Risque	Correction
MFA uniquement pour les administrateurs	Comptes utilisateurs reguliers compromis par phishing	Activer le MFA pour tous les utilisateurs, en commencant par les groupes a haut risque
S'appuyer uniquement sur les SMS	Attaques par detournement de carte SIM et interception	Migrer vers les applications TOTP, le push ou les cles de sécurité FIDO2
Pas de MFA pour les comptes de service	Comptes de service privilegies compromis	Utiliser l'authentification par certificat ou les identites gerees pour les comptes de service
Vulnerabilite a la fatigue MFA	Les utilisateurs approuvent des notifications push frauduleuses	Implementer la correspondance de nombres, limiter les tentatives push, utiliser FIDO2
Pas de procedures de contournement MFA	Utilisateurs bloques sans chemin de recuperation	Documenter et tester les procedures de recuperation avec verification d'identite
Exclure les applications patrimoniales	Points d'entree non protégés dans l'environnement	Utiliser un proxy inverse ou un VPN avec MFA pour les applications patrimoniales

Comment Orbiq accompagne la conformité MFA

Orbiq vous aide a demontrer vos contrôles de sécurité d'authentification :

Collecte de preuves — Centralisez les politiques MFA, les rapports d'enrolement et les journaux d'authentification
Surveillance continue — Suivez les taux d'adoption du MFA et la posture de sécurité de l'authentification
Trust Center — Partagez vos contrôles de sécurité d'authentification via votre Trust Center
Correspondance de conformité — Mappez les contrôles MFA sur ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Dossiers de preuves pre-constitues pour la revue par les auditeurs

Pour aller plus loin

Gestion des identites et des accès — Strategie IAM complete
Gestion des accès privilegies — Securiser les comptes privilegies
Zero Trust — Le MFA comme fondement du zero trust
Protection des données — Authentification pour la conformité en matiere de vie privee
Formation de sensibilisation à la sécurité — Former les utilisateurs aux bonnes pratiques MFA