L’authentification forte, ou authentification multifacteur (MFA – Multi-Factor Authentication), est le mecanisme de securite qui exige la verification d’au moins deux facteurs d’authentification distincts avant d’accorder l’acces a un systeme ou a des donnees. Dans un contexte ou le vol d’identifiants est le vecteur d’attaque le plus repandu, la MFA est devenue non seulement une bonne pratique universellement reconnue mais aussi une obligation juridique sous plusieurs textes europeens. Cet article analyse les fondements legaux de cette obligation, les differentes methodes disponibles et les strategies de deploiement.

I. Les fondements juridiques de l’authentification forte

A. NIS2 : une mention explicite

L’article 21, paragraphe 2, point j) de la directive NIS2 impose aux entites essentielles et importantes l’utilisation de “solutions d’authentification a plusieurs facteurs ou d’authentification continue” parmi les mesures minimales de gestion des risques. C’est l’un des rares points ou NIS2 prescrit une mesure technique specifique, ce qui temoigne de l’importance que le legislateur europeen accorde a l’authentification forte.

Cette obligation concerne l’ensemble des systemes de l’entite, pas seulement les acces administrateurs. Le texte mentionne egalement les “communications vocales, video et textuelles securisees et les systemes de communication d’urgence securises”, ce qui suppose une authentification robuste des canaux de communication.

B. Le RGPD : une obligation derivee de l’article 32

L’article 32 du RGPD impose des mesures de securite “appropriees” pour proteger les donnees personnelles. La CNIL a clarifie a de nombreuses reprises que l’authentification forte fait partie des mesures exigees pour les acces aux donnees sensibles.

Dans sa recommandation sur les mots de passe publiee en 2022, la CNIL distingue plusieurs cas de figure. Pour les acces a des donnees personnelles courantes, un mot de passe robuste peut suffire (sous certaines conditions de complexite). Pour les acces a des donnees sensibles (sante, infractions, donnees bancaires), l’authentification multifacteur est expressement recommandee et son absence constitue un manquement en cas de controle. La CNIL a sanctionne plusieurs organisations pour l’absence de MFA sur des acces administrateurs ou sur des acces a distance a des donnees personnelles.

C. La DSP2 : l’authentification forte dans le secteur financier

La directive sur les services de paiement (DSP2, directive (UE) 2015/2366) a ete le premier texte europeen a imposer l’authentification forte de maniere prescriptive pour les paiements electroniques et l’acces aux comptes en ligne. La DSP2 definit l’authentification forte comme “une authentification fondee sur l’utilisation de deux elements ou plus appartenant aux categories de la connaissance, de la possession et de l’inherence, qui sont independants”. Cette definition fait reference dans l’ensemble du droit europeen.

D. Les recommandations de l’ANSSI

L’ANSSI recommande l’authentification forte pour l’ensemble des acces a distance, les acces administrateurs, les acces aux systemes critiques et les acces aux donnees sensibles. Le guide d’hygiene informatique de l’ANSSI (mesure 10) place l’authentification forte parmi les mesures fondamentales. Dans le cadre de NIS2, l’ANSSI est susceptible de verifier la mise en oeuvre de la MFA lors de ses controles.

II. Les facteurs d’authentification : theorie et pratique

A. Les trois categories de facteurs

L’authentification forte repose sur la combinaison d’au moins deux facteurs appartenant a des categories differentes :

Facteur de connaissance (ce que je sais). Mot de passe, code PIN, reponse a une question secrete. C’est le facteur le plus repandu mais aussi le plus vulnerable : les mots de passe peuvent etre derobes par phishing, voles dans des fuites de bases de donnees, devines par force brute ou obtenus par ingenierie sociale.

Facteur de possession (ce que j’ai). Telephone mobile (reception de SMS ou application d’authentification), cle de securite physique (FIDO2/WebAuthn), carte a puce, token materiel. Ce facteur est significativement plus difficile a compromettre a distance car il suppose un acces physique au dispositif.

Facteur d’inherence (ce que je suis). Empreinte digitale, reconnaissance faciale, reconnaissance vocale, scan de l’iris. La biometrie offre un niveau de securite eleve mais souleve des questions specifiques en matiere de protection des donnees personnelles (le RGPD classe les donnees biometriques parmi les donnees sensibles, article 9).

B. La combinaison minimale

Pour etre qualifiee de “forte”, l’authentification doit combiner au moins deux facteurs de categories differentes. Deux mots de passe (deux facteurs de connaissance) ne constituent pas une authentification forte. Un mot de passe (connaissance) combine avec un code envoye par SMS (possession du telephone) constitue une authentification forte, bien que la securite du SMS soit contestee.

C. L’evolution vers le passwordless

La tendance actuelle est l’elimination du mot de passe au profit de methodes plus sures et plus ergonomiques. Les standards FIDO2/WebAuthn permettent une authentification sans mot de passe basee sur la possession d’une cle de securite ou d’un dispositif biometrique. Cette approche elimine le risque de phishing du mot de passe tout en simplifiant l’experience utilisateur. Les grandes plateformes (Microsoft, Google, Apple) supportent desormais les passkeys, une implementation grand public de FIDO2.

III. Les methodes MFA : avantages et limites

A. SMS et appel vocal

Le SMS a ete la premiere methode MFA largement deployee. L’utilisateur recoit un code a usage unique par SMS qu’il saisit apres son mot de passe. Malgre sa simplicite, cette methode est aujourd’hui consideree comme la moins sure des methodes MFA.

Les faiblesses du SMS sont documentees : le SIM swapping (transfert frauduleux du numero vers une autre carte SIM), l’interception des SMS via des failles du protocole SS7, le phishing en temps reel (l’attaquant collecte le code SMS et l’utilise immediatement) et la reception des SMS sur des appareils non securises.

L’ANSSI et le NIST (SP 800-63B) recommandent de ne plus utiliser le SMS comme facteur d’authentification pour les acces a haut risque. Toutefois, un SMS est toujours nettement preferable a l’absence de second facteur.

B. Applications d’authentification (TOTP)

Les applications d’authentification (Google Authenticator, Microsoft Authenticator, Authy) generent des codes a usage unique a base de temps (TOTP – Time-based One-Time Password, RFC 6238). Le code est genere localement sur l’appareil et change toutes les 30 secondes.

Cette methode est significativement plus sure que le SMS car elle ne transite pas par le reseau telephonique et n’est pas vulnerable au SIM swapping. Sa limite est qu’elle reste vulnerable au phishing en temps reel : un attaquant qui collecte simultanement le mot de passe et le code TOTP peut les utiliser immediatement.

C. Notifications push

Les solutions push (Microsoft Authenticator, Duo, Okta) envoient une notification sur le telephone de l’utilisateur, qui approuve ou refuse la connexion. Cette methode est plus ergonomique que la saisie d’un code mais peut etre vulnerable aux attaques par fatigue MFA (MFA bombing) : l’attaquant declenche des dizaines de notifications jusqu’a ce que l’utilisateur approuve par lassitude. Les solutions modernes combinent la notification push avec la saisie d’un numero contextuel (number matching) pour contrer cette attaque.

D. Cles de securite physiques (FIDO2/WebAuthn)

Les cles de securite physiques (YubiKey, Google Titan, SoloKeys) sont considerees comme la methode MFA la plus sure. Elles utilisent le protocole FIDO2/WebAuthn qui offre une resistance native au phishing : la cle ne repond qu’aux requetes provenant du domaine legitime. L’attaquant qui cree un site de phishing ne peut pas obtenir la reponse de la cle.

Leur limite est le cout (20 a 70 euros par cle, deux cles recommandees par utilisateur) et la contrainte logistique (distribution, gestion des cles perdues). Elles sont particulierement recommandees pour les administrateurs, les dirigeants et les comptes a haut risque.

E. Biometrie

La biometrie (empreinte digitale, reconnaissance faciale) est de plus en plus utilisee comme facteur d’authentification, notamment sur les smartphones et les ordinateurs portables. Elle offre un excellent equilibre entre securite et ergonomie.

Toutefois, l’utilisation de la biometrie comme facteur d’authentification en entreprise souleve des questions RGPD specifiques. Les donnees biometriques sont des donnees sensibles au sens de l’article 9 du RGPD, et leur traitement est en principe interdit sauf exceptions (consentement explicite, obligation legale, interet public). La CNIL a publie des lignes directrices sur l’utilisation de la biometrie en entreprise qui encadrent strictement les conditions de deploiement. Un audit RGPD doit necessairement evaluer la conformite du dispositif biometrique.

IV. Strategie de deploiement de la MFA

A. Approche par les risques

Le deploiement de la MFA doit suivre une approche par les risques. Tous les acces ne necessitent pas le meme niveau d’authentification. La priorite est la suivante :

Priorite 1 (immediat) : comptes administrateurs (domaine, infrastructure, cloud, applications critiques), acces a distance (VPN, bureau a distance), acces aux donnees sensibles (donnees de sante, donnees financieres, donnees personnelles a grande echelle).

Priorite 2 (court terme) : acces aux applications metier contenant des donnees personnelles, acces aux environnements cloud (SaaS, IaaS, PaaS), messagerie electronique.

Priorite 3 (moyen terme) : ensemble des acces utilisateurs, acces physiques aux locaux sensibles (salles serveurs, archives).

Cette priorisation s’appuie sur l’analyse de risques qui identifie les systemes et donnees les plus critiques. La politique de securite doit definir les exigences MFA par categorie d’acces.

B. Choix de la solution

Le choix de la solution MFA depend de plusieurs facteurs : le parc technologique existant (Active Directory, Azure AD, solution IAM), le budget, le nombre d’utilisateurs, le niveau de risque et la capacite d’accompagnement au changement.

Les solutions d’entreprise (Microsoft Entra ID, Okta, Duo, Thales) offrent une gestion centralisee, des politiques d’acces conditionnel (exiger la MFA selon le contexte : localisation, appareil, niveau de risque) et des tableaux de bord de conformite. Les solutions open source (privacyIDEA, LinOTP) conviennent aux organisations qui souhaitent maitriser l’infrastructure.

C. Accompagnement des utilisateurs

Le deploiement de la MFA echoue souvent non pas pour des raisons techniques mais par manque d’accompagnement. Les utilisateurs percoivent la MFA comme une contrainte supplementaire si son utilite n’est pas expliquee. Les bonnes pratiques incluent une communication claire sur les raisons du deploiement (protection contre le vol d’identifiants, obligation reglementaire), un accompagnement personnalise pour l’inscription des facteurs, la mise a disposition d’un support dedie pendant la phase de deploiement, et la prise en compte des cas particuliers (utilisateurs sans smartphone, environnements deconnectes).

D. Gestion des exceptions et contournements

Les contournements de la MFA sont le talon d’Achille du dispositif. Les exceptions doivent etre strictement encadrees : tout contournement doit etre approuve par le RSSI, documente, limite dans le temps et compense par des mesures alternatives (surveillance renforcee, restriction d’acces). Le suivi des exceptions fait partie du controle de conformite NIS2.

V. MFA et prevention des cyberattaques

A. Impact sur les attaques par rancongiciel

La MFA est l’une des mesures les plus efficaces contre les attaques par rancongiciel. Microsoft estime que la MFA bloque 99,9% des attaques par compromission de comptes. Les rancongiciels exploitent massivement les identifiants voles pour se propager (mouvement lateral via RDP, compromission d’Active Directory). La MFA sur les acces administrateurs et les acces a distance reduit drastiquement la surface d’attaque.

B. Protection contre le phishing

La MFA protege contre le phishing classique (l’attaquant obtient le mot de passe mais ne dispose pas du second facteur). Toutefois, les methodes MFA vulnerables au phishing en temps reel (SMS, TOTP) ne protegent pas contre les attaques de type adversary-in-the-middle (AitM). Seules les cles FIDO2/WebAuthn offrent une protection native contre ce type d’attaque. Les tests d’intrusion doivent inclure des scenarios de contournement de la MFA.

C. Conformite et audit

La mise en oeuvre de la MFA est un point de controle systematique lors des audits de securite informatique. Les auditeurs verifient le taux de couverture (pourcentage de comptes proteges par la MFA), les methodes utilisees, la gestion des exceptions et l’existence de politiques d’acces conditionnel. Un audit RGPD complet doit egalement verifier que les acces aux donnees personnelles sont proteges par la MFA lorsque le risque le justifie.

L’ENISA publie des recommandations detaillees sur l’authentification forte dans le cadre de NIS2, et la CNIL fournit des guides specifiques pour le choix des methodes d’authentification conformes au RGPD. Le texte de NIS2 est disponible integralement sur EUR-Lex et les recommandations de la CNIL sur son site officiel.

FAQ

L’authentification forte est-elle obligatoire sous NIS2 ?

Oui. L’article 21 de NIS2 mentionne explicitement les “solutions d’authentification a plusieurs facteurs ou d’authentification continue” parmi les mesures minimales de gestion des risques imposees aux entites essentielles et importantes. C’est l’une des rares mesures techniques specifiquement nommees dans la directive, ce qui souligne son importance. L’absence de MFA constitue un manquement direct a NIS2.

Le SMS est-il un facteur d’authentification acceptable ?

Le SMS reste un facteur d’authentification accepte par la plupart des reglementations, y compris le RGPD et NIS2 qui ne prescrivent pas de methode specifique. Toutefois, l’ANSSI et le NIST deconseillent le SMS pour les acces a haut risque en raison de ses vulnerabilites connues (SIM swapping, interception SS7, phishing en temps reel). Un SMS est toujours preferableble a l’absence de second facteur, mais les organisations devraient privilegier les applications d’authentification (TOTP) ou les cles de securite physiques (FIDO2) pour les acces critiques.

Comment deployer la MFA dans une organisation de plusieurs milliers d’utilisateurs ?

Le deploiement a grande echelle necessite une approche progressive et structuree. Commencer par les populations les plus a risque (administrateurs, dirigeants, acces a distance), puis etendre progressivement a l’ensemble des utilisateurs. La communication et l’accompagnement sont essentiels : expliquer le pourquoi, fournir des guides pas a pas, mettre en place un support dedie. Les solutions d’entreprise offrent des fonctionnalites de deploiement par groupes, de suivi du taux d’adoption et de gestion centralisee des exceptions. Prevoir un budget de 3 a 12 mois pour un deploiement complet.

La biometrie peut-elle remplacer le mot de passe ?

Techniquement, oui. Les standards FIDO2/WebAuthn permettent une authentification sans mot de passe combinant la biometrie (inherence) avec une cle cryptographique stockee sur l’appareil (possession). Cette approche est plus sure et plus ergonomique qu’un mot de passe. Toutefois, l’utilisation de la biometrie en entreprise est encadree par le RGPD (les donnees biometriques sont des donnees sensibles au sens de l’article 9) et par les recommandations de la CNIL, ce qui impose une analyse d’impact prealable et des garanties de protection renforcees.