Avez-vous activé la double authentification sur tous vos comptes ? Si la réponse est « non » ou « je ne suis pas sûr », vous n'êtes pas seul. La plupart des personnes activent la MFA là où on le leur impose, mais négligent les comptes sur lesquels cette pratique est soit facultative, soit peu mise en avant. C'est pourtant l'un des gestes les plus efficaces pour protéger un compte contre le vol : un mot de passe seul, même complexe, peut être deviné, réutilisé ailleurs ou volé lors d'une fuite de données. La double authentification vient combler cette faille en ajoutant une seconde vérification, indépendante du mot de passe. Mais encore faut-il choisir la bonne méthode, car toutes les solutions ne se valent pas.
Pour embêter les utilisateurs et rendre leur quotidien plus stressant, évidemment ! C'est une blague, bien sûr.
Un mot de passe, aussi solide soit-il, reste une vérification unique. Or, avec le nombre de comptes que nous gérons aujourd'hui, cette clé unique est souvent réutilisée d'un service à l'autre par simplicité, être (trop) court ou pas assez complexe, ou encore peut apparaître dans une fuite de données quelque part sur Internet. Dans tous les cas, quiconque met la main dessus peut se connecter à votre place, sans que vous vous en rendiez compte immédiatement.
L'authentification multifacteur (MFA) répond justement à ce problème en ajoutant une seconde vérification, indépendante du mot de passe. C'est un peu comme un coffre-fort à double serrure : même si quelqu'un trouve la première clé, il lui manquera la seconde pour ouvrir la porte et saisir les biens de valeur.
Certaines plateformes populaires vous permettent parfois d'accéder à leurs services en vous authentifiant à l'aide d'un lien ou d'un code qui vous est envoyé par email. Cette solution, bien qu'intéressante, part du constat initial que l'accès à votre boîte de réception est sécurisé. Si vous avez sécurisé vos accès email à l'aide d'une autre méthode décrite plus bas dans cet article, c'est parfaitement acceptable. En revanche, si votre messagerie n'est pas sécurisée par la double authentification, un acteur malveillant obtenant votre mot de passe pourrait accéder à celle-ci et débloquer l'accès aux plateformes qui utilisent ce moyen d'authentification.
Le code reçu par SMS est une méthode répandue, notamment parce qu'elle ne demande aucune installation et qu'elle permet de valider le numéro de téléphone d'un individu. Contrairement aux autres facteurs qui seront présentés plus loin dans l'article, le SMS a toutefois une faiblesse connue : il peut être intercepté, notamment via des techniques de duplication de carte SIM. À défaut d'autre moyen, le SMS peut être conservé, mais nous vous recommandons d'opter pour le facteur suivant, offrant davantage de sécurité.
Les applications qui génèrent des codes à 6 chiffres toutes les trente secondes (souvent appelées TOTP) offrent un niveau de sécurité nettement supérieur au SMS, sans nécessiter de matériel supplémentaire. Elles conviennent bien à la majorité des petites structures qui cherchent un équilibre entre simplicité et robustesse.
Un point d'attention pour le déploiement en entreprise toutefois : ces applications sont souvent installées sur le téléphone personnel des collaborateur-trice-s, ce qui oblige à concilier usage professionnel et usage personnel sur un même appareil. Il s'agit d'une question à anticiper, notamment si l'entreprise ne fournit pas de téléphone dédié. Il reste généralement admis que l'entreprise demande à son personnel de déployer cette solution peu intrusive sur des smartphones à usage privé, car il n'en découle pas de risque particulier. En revanche, il est recommandé d'être clair sur les usages et que cela n'implique pas d'obligation ou de surveillance supplémentaire.
La clé physique, que l'on branche ou approche de son appareil, est aujourd'hui considérée comme l'une des méthodes les plus résistantes aux tentatives de phishing. Elle demande un petit investissement matériel (une sorte de clé USB, en général), la gestion d'un inventaire de stock et une prise en main initiale, ce qui dissuade parfois les entreprises de faire le pas. En revanche, elle convient parfaitement aux applications manipulant des informations sensibles.
Un bémol toutefois : sa prise en charge n'est pas encore uniforme, et de nombreux services en ligne ne proposent malheureusement pas encore cette option, ce qui peut limiter son usage à certains comptes seulement.
L'empreinte digitale ou la reconnaissance faciale simplifient beaucoup le processus d'authentification (connexion), en particulier sur mobile. Cette méthode doit toutefois être configurée appareil par appareil, ce qui peut être contraignant.
En revanche, si elle est couplée à des clés de passe (passkeys) et à un bon gestionnaire de mots de passe, la biométrie sert à déverrouiller l'accès aux données d'authentification qui, elles, peuvent être synchronisées entre vos différents appareils. Cela ne vous dispensera pas de reconfigurer la biométrie si vous perdez votre smartphone, mais au moins vos accès seront synchronisés (et donc vous pourrez les récupérer).
À noter un détail important : la biométrie reste sur votre appareil en tout temps. Elle ne doit jamais être envoyée à un acteur tiers.
Bien qu'il soit intéressant de renforcer au maximum vos comptes, il faut parfois savoir être pragmatique et appliquer une règle simple : plus l'accès est critique, plus la méthode doit être robuste. Voici quelques exemples illustrant ces propos afin de vous aider à vous y retrouver :
Commencez par identifier les comptes les plus critiques dans votre entreprise (messagerie, comptabilité, accès administrateur) et à usage personnel, puis mettez en place une méthode robuste sur ceux-ci. Le SMS peut rester utile pour des accès secondaires, mais ne devrait pas être la seule protection sur vos outils sensibles.
De manière générale, la sélection d'une méthode d'authentification multiple dépend des contraintes de votre métier ainsi que de votre tolérance face aux risques. Si vous hésitez sur la ou les méthodes les plus adaptées à votre activité, parlons-en ensemble ! Nous serons ravis de vous accompagner dans ce choix.
Transparence : L'auteur a utilisé l'IA générative lors de la rédaction de cet article afin d'améliorer sa lisibilité. Les éléments ainsi générés ont été édités afin de fournir une expérience de lecture optimale, et refléter l'expérience, le point de vue et les connaissances de l'auteur.