Aller au contenu principal
Sécurité Guide pratique PME

Activer le MFA sur tous les comptes critiques

Avez-vous activé l'authentification multifacteur (MFA) sur vos comptes critiques ?

En bref — ce que vous devez retenir

Le MFA (authentification multifacteur) bloque 99,9 % des attaques automatisées sur les comptes, même si le mot de passe a été volé. C'est la mesure de sécurité avec le meilleur rapport protection/effort, et elle est souvent gratuite sur les outils que vous utilisez déjà.

Glossaire

MFA

Multi-Factor Authentication

Authentification Multi-Facteurs

Sécurité qui exige deux preuves d'identité pour se connecter : votre mot de passe + un code reçu par SMS ou via une application dédiée.

? Nature du problème

Le MFA ajoute une deuxième vérification après le mot de passe : une application comme Microsoft Authenticator génère un code à 6 chiffres qui change toutes les 30 secondes. Même si un attaquant possède votre mot de passe, il ne peut pas se connecter sans ce code.

Les comptes "critiques" à prioriser : messagerie professionnelle (porte d'entrée vers tout le reste via "mot de passe oublié"), accès bancaires, ERP et logiciel métier, accès cloud (AWS, Azure, OVH), VPN et accès distants, réseaux sociaux de l'entreprise.

Comment corriger — étape par étape

  1. Messagerie en premier : activez le MFA sur Microsoft 365, Google Workspace, ou votre hébergeur email — c'est la priorité absolue
  2. Utilisez une app d'authentification (Microsoft Authenticator, Google Authenticator, Authy) plutôt que le SMS (le SMS est vulnérable au SIM swapping)
  3. Listez tous vos services critiques et activez le MFA un par un (la plupart ont l'option dans Paramètres > Sécurité)
  4. Pour les accès admin, envisagez une clé physique FIDO2 (YubiKey) — résistante aux attaques de phishing
  5. Documentez les codes de secours (backup codes) dans votre gestionnaire de mots de passe
  6. Formez les collaborateurs : 1 session de 15 min suffit

! Incidents réels

Comptable indépendant — Nantes, 2023

Compte Microsoft 365 compromis via phishing. L'attaquant a accédé à 3 ans de documents clients et de fichiers comptables sensibles. Le MFA n'était pas activé. Le même incident avec MFA aurait été bloqué au moment de la connexion.

Directeur commercial — Bordeaux, 2024

"Mon mot de passe LinkedIn a fuité. L'attaquant l'a essayé sur mon Microsoft 365 — sans MFA, il était dedans en quelques minutes. Il a envoyé des mails frauduleux à tous mes clients depuis mon adresse."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →