Qu'est-ce que l'authentification multifacteur (MFA) ?

L'authentification multifacteur (MFA) exige que les utilisateurs fournissent deux facteurs de verification independants ou plus pour acceder a un systeme ou une application. Ces facteurs proviennent de categories differentes : quelque chose que vous connaissez (mot de passe, code PIN), quelque chose que vous possedez (cle de securite, telephone, carte a puce) et quelque chose que vous etes (empreinte digitale, reconnaissance faciale). Le MFA reduit considerablement le risque de compromission de compte car un attaquant doit obtenir plusieurs facteurs plutot qu'un simple mot de passe.

Quelle est la difference entre MFA et 2FA ?

L'authentification a deux facteurs (2FA) est un sous-ensemble du MFA qui utilise exactement deux facteurs. Le MFA est le terme plus large couvrant deux facteurs ou plus. En pratique, la plupart des implementations utilisent deux facteurs (2FA), mais les environnements a haute securite peuvent exiger trois facteurs — par exemple, un mot de passe (connaissance), une cle de securite materielle (possession) et une empreinte digitale (biometrie). Toute 2FA est du MFA, mais tout MFA n'est pas limite a deux facteurs.

Qu'est-ce que le MFA resistant au phishing ?

Le MFA resistant au phishing utilise des methodes d'authentification qui ne peuvent pas etre interceptees ou rejouees par des attaquants via le phishing. Les cles de securite FIDO2/WebAuthn et les authentificateurs de plateforme (Windows Hello, Apple Touch ID/Face ID) sont resistants au phishing car ils utilisent la cryptographie a cle publique liee au domaine legitime. Les codes SMS, les applications TOTP et les notifications push ne sont PAS resistants au phishing car ils peuvent etre interceptes via des proxys de phishing en temps reel ou le detournement de carte SIM.

Qu'est-ce que FIDO2/WebAuthn ?

FIDO2 est un standard d'authentification ouvert qui permet une authentification sans mot de passe et resistante au phishing. WebAuthn est le composant API web de FIDO2 qui permet aux sites web d'utiliser la cryptographie a cle publique pour l'authentification. Les utilisateurs s'authentifient avec des cles de securite materielles (YubiKey, Google Titan), des authentificateurs de plateforme (empreinte digitale, reconnaissance faciale) ou des passkeys synchronisees entre les appareils. FIDO2 est considere comme la reference en matiere de securite d'authentification.

Que sont les passkeys ?

Les passkeys sont une methode d'authentification sans mot de passe basee sur FIDO2 qui remplace les mots de passe par des paires de cles cryptographiques stockees sur les appareils des utilisateurs. Contrairement aux cles de securite traditionnelles, les passkeys peuvent etre synchronisees entre les appareils via le cloud (Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator). Elles sont resistantes au phishing, necessitent une verification biometrique ou un code PIN de l'appareil et eliminent les risques lies aux mots de passe. Les passkeys sont prises en charge par Apple, Google et Microsoft.

Pourquoi le MFA par SMS est-il considere comme faible ?

Le MFA par SMS est vulnerable aux attaques suivantes : detournement de carte SIM (l'attaquant convainc l'operateur de transferer le numero), attaques du protocole SS7 (interception des messages SMS au niveau reseau), proxys de phishing en temps reel (l'attaquant relaie le code SMS en temps reel), ingenierie sociale (inciter les utilisateurs a partager les codes) et vol d'appareil. Bien que le MFA par SMS soit preferable a l'absence de MFA, les organisations devraient migrer vers les applications TOTP, les notifications push ou FIDO2 pour les systemes critiques.

Quels referentiels de conformite exigent le MFA ?

ISO 27001 (A.8.5 — Authentification securisee), SOC 2 (CC6.1 — Controles d'acces logiques), NIS2 (Article 21(2)(j) — Authentification multifacteur) et DORA (Article 9(4)(c) — Mecanismes d'authentification forte) exigent tous le MFA ou une authentification forte. NIS2 nomme explicitement le MFA comme mesure obligatoire. La plupart des referentiels exigent le MFA au minimum pour les acces privilegies, la bonne pratique etant le MFA pour tous les utilisateurs.

Comment implementer le MFA sans degrader l'experience utilisateur ?

Implementez un MFA conditionnel/adaptatif qui ajuste les exigences en fonction du risque : exigez le MFA pour les nouveaux appareils, les localisations inhabituelles ou les operations sensibles, mais permettez aux appareils de confiance de passer le MFA pour une periode configuree. Utilisez des authentificateurs biometriques (empreinte digitale, visage) pour une verification sans friction. Prenez en charge les passkeys pour une experience sans mot de passe. Fournissez un enrolement et une recuperation en libre-service. Communiquez les avantages de securite aux utilisateurs et proposez plusieurs options MFA.

Authentification multifacteur (MFA) : le guide complet pour les equipes conformite et securite

Published 8 mars 2026

By Emre Salmanoglu

Authentification multifacteur (MFA) : le guide complet pour les equipes conformite et securite

Decouvrez comment implementer l'authentification multifacteur conforme aux exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre les methodes MFA, FIDO2/WebAuthn, l'acces conditionnel, le MFA resistant au phishing et les preuves de conformite.

MFA

authentification

securite des identites

zero trust

conformite

Qu'est-ce que l'authentification multifacteur ?

L'authentification multifacteur (MFA) est un mecanisme de securite qui exige que les utilisateurs verifient leur identite en utilisant deux facteurs independants ou plus avant d'acceder a un systeme, une application ou des donnees. En combinant plusieurs facteurs d'authentification issus de differentes categories, le MFA garantit que la compromission d'un seul identifiant (comme un mot de passe) ne suffit pas a un attaquant pour obtenir l'acces.

Le vol d'identifiants et les attaques de phishing representant la majorite des violations, le MFA est devenu un controle de securite de base exige par pratiquement tous les referentiels de conformite, y compris ISO 27001, SOC 2, NIS2 et DORA.

Types de facteurs d'authentification

Type de facteur	Categorie	Exemples	Robustesse
Mot de passe/PIN	Quelque chose que vous connaissez	Mots de passe, codes PIN, questions de securite	Faible (phishing, devinable)
Code TOTP	Quelque chose que vous possedez	Google Authenticator, Authy, Microsoft Authenticator	Moyenne (phishing via proxy)
Code SMS	Quelque chose que vous possedez	Code a usage unique par SMS	Faible-Moyenne (interceptable)
Notification push	Quelque chose que vous possedez	Duo Push, notification push Microsoft Authenticator	Moyenne (sensible aux attaques par fatigue)
Cle de securite materielle	Quelque chose que vous possedez	YubiKey, Google Titan, Feitian	Elevee (resistant au phishing)
Biometrie	Quelque chose que vous etes	Empreinte digitale, reconnaissance faciale, scan de l'iris	Elevee (lie a l'individu)
Passkey	Quelque chose que vous possedez + etes	Identifiants FIDO2 synchronises avec deverrouillage biometrique	Elevee (resistant au phishing, sans mot de passe)

Comparaison des methodes MFA

Methode	Resistant au phishing	Experience utilisateur	Complexite de deploiement	Cout
SMS OTP	Non	Moyenne	Faible	Faible
Application TOTP	Non	Moyenne	Faible	Gratuit
Notification push	Non	Elevee	Moyenne	Licence par utilisateur
Cle de securite materielle	Oui	Moyenne	Moyenne	Cout materiel par cle
Biometrie de plateforme	Oui	Elevee	Faible	Integre aux appareils
Passkey	Oui	Tres elevee	Moyenne	Gratuit
Carte a puce + PIN	Oui	Faible	Elevee	Par carte + infrastructure

Politiques d'acces conditionnel

Condition	Niveau de risque	Exigence MFA
Appareil connu + localisation connue	Faible	Pas de MFA (jeton de session valide)
Appareil connu + nouvelle localisation	Moyen	MFA requis
Nouvel appareil + toute localisation	Eleve	MFA requis + enregistrement de l'appareil
Action privilegiee	Eleve	MFA renforce requis
Compte administrateur/privilegie	Critique	MFA toujours requis (resistant au phishing de preference)
Deplacement impossible detecte	Critique	MFA requis + revue de securite

Architecture d'implementation MFA

Composant	Fonction	Exemples
Fournisseur d'identite (IdP)	Authentification centralisee et application du MFA	Azure AD, Okta, Google Workspace, Auth0
Service MFA	Verification du second facteur	Duo, RSA SecurID, MFA integre a l'IdP
Integration SSO	Authentification unique avec MFA au niveau de l'IdP	SAML 2.0, OIDC, OAuth 2.0
Service d'annuaire	Gestion des utilisateurs et groupes pour les politiques MFA	Active Directory, LDAP, SCIM
Applications d'authentification	Generation TOTP/push cote client	Google Authenticator, Microsoft Authenticator, Authy
Serveur FIDO2	Gestion des identifiants WebAuthn	Integre aux IdP modernes

Strategie de deploiement du MFA

Phase	Actions	Calendrier
Phase 1	Activer le MFA pour tous les comptes administrateurs et privilegies	Semaine 1-2
Phase 2	Activer le MFA pour les equipes informatiques et securite	Semaine 3-4
Phase 3	Activer le MFA pour tous les employes accedant aux systemes sensibles	Mois 2
Phase 4	Activer le MFA pour tous les utilisateurs et collaborateurs externes	Mois 3
Phase 5	Migrer vers le MFA resistant au phishing (FIDO2/passkeys)	Mois 4-6
Phase 6	Implementer l'acces conditionnel et le MFA adaptatif	Mois 6-9

Exigences de conformite

Correspondance avec les referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Authentification multifacteur	A.8.5	CC6.1	Art. 21(2)(j)	Art. 9(4)(c)
Controles d'acces privilegies	A.8.2	CC6.3	Art. 21(2)(i)	Art. 9(4)(c)
Revue des acces	A.5.18	CC6.2	Art. 21(2)(i)	Art. 9(2)
Journalisation de l'authentification	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Securite de l'acces distant	A.8.1	CC6.6	Art. 21(2)(j)	Art. 9(4)(c)
Politique de mots de passe	A.8.5	CC6.1	Art. 21(2)(j)	Art. 9(4)(b)

Preuves d'audit

Type de preuve	Description	Referentiel
Politique MFA	Politique documentee exigeant le MFA pour les groupes d'utilisateurs specifies	Tous les referentiels
Rapport d'enrolement MFA	Pourcentage d'utilisateurs avec MFA active par type de methode	Tous les referentiels
Regles d'acces conditionnel	Configuration des politiques MFA basees sur le risque	ISO 27001, SOC 2
Journaux d'authentification	Enregistrements montrant les demandes MFA et les resultats	Tous les referentiels
Registre d'exceptions MFA	Exceptions documentees avec acceptation des risques et dates de revue	Tous les referentiels
Audit des comptes privilegies	Preuve que tous les comptes privilegies ont le MFA active	Tous les referentiels
Documentation des procedures de recuperation	Processus de reinitialisation du MFA et de recuperation de compte	ISO 27001, SOC 2

Erreurs courantes

Erreur	Risque	Correction
MFA uniquement pour les administrateurs	Comptes utilisateurs reguliers compromis par phishing	Activer le MFA pour tous les utilisateurs, en commencant par les groupes a haut risque
S'appuyer uniquement sur les SMS	Attaques par detournement de carte SIM et interception	Migrer vers les applications TOTP, le push ou les cles de securite FIDO2
Pas de MFA pour les comptes de service	Comptes de service privilegies compromis	Utiliser l'authentification par certificat ou les identites gerees pour les comptes de service
Vulnerabilite a la fatigue MFA	Les utilisateurs approuvent des notifications push frauduleuses	Implementer la correspondance de nombres, limiter les tentatives push, utiliser FIDO2
Pas de procedures de contournement MFA	Utilisateurs bloques sans chemin de recuperation	Documenter et tester les procedures de recuperation avec verification d'identite
Exclure les applications patrimoniales	Points d'entree non proteges dans l'environnement	Utiliser un proxy inverse ou un VPN avec MFA pour les applications patrimoniales

Comment Orbiq accompagne la conformite MFA

Orbiq vous aide a demontrer vos controles de securite d'authentification :

Collecte de preuves — Centralisez les politiques MFA, les rapports d'enrolement et les journaux d'authentification
Surveillance continue — Suivez les taux d'adoption du MFA et la posture de securite de l'authentification
Trust Center — Partagez vos controles de securite d'authentification via votre Trust Center
Correspondance de conformite — Mappez les controles MFA sur ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Dossiers de preuves pre-constitues pour la revue par les auditeurs

Pour aller plus loin

Gestion des identites et des acces — Strategie IAM complete
Gestion des acces privilegies — Securiser les comptes privilegies
Zero Trust — Le MFA comme fondement du zero trust
Protection des donnees — Authentification pour la conformite en matiere de vie privee
Formation de sensibilisation a la securite — Former les utilisateurs aux bonnes pratiques MFA