Authentification forte (MFA) : obligations légales, méthodes et mise en oeuvre

L’authentification forte, ou authentification multifacteur (MFA – Multi-Factor Authentication), est le mécanisme de sécurité qui exige la vérification d’au moins deux facteurs d’authentification distincts avant d’accorder l’accès à un système ou à des données. Dans un contexte ou le vol d’identifiants est le vecteur d’attaque le plus repandu, la MFA est devenue non seulement une bonne pratique universellement reconnue mais aussi une obligation juridique sous plusieurs textes européens. Cet article analyse les fondements légaux de cette obligation, les différentes méthodes disponibles et les stratégies de déploiement.

I. Les fondements juridiques de l’authentification forte

A. NIS2 : une mention explicité

L’article 21, paragraphe 2, point j) de la directive NIS2 impose aux entités essentielles et importantes l’utilisation de “solutions d’authentification à plusieurs facteurs ou d’authentification continue” parmi les mesures minimales de gestion des risques. C’est l’un des rares points ou NIS2 prescrit une mesure technique spécifique, ce qui témoigne de l’importance que le législateur européen accorde à l’authentification forte.

Cette obligation concerne l’ensemble des systèmes de l’entité, pas seulement les accès administrateurs. Le texte mentionné également les “communications vocales, vidéo et textuelles sécurisées et les systèmes de communication d’urgence sécurisés”, ce qui suppose une authentification robuste des canaux de communication.

B. Le RGPD : une obligation derivee de l’article 32

L’article 32 du RGPD impose des mesures de sécurité “appropriées” pour protéger les données personnelles. La CNIL a clarifie a de nombreuses reprises que l’authentification forte fait partie des mesures exigées pour les accès aux données sensibles.

Dans sa recommandation sur les mots de passe publiée en 2022, la CNIL distingue plusieurs cas de figure. Pour les accès à des données personnelles courantes, un mot de passe robuste peut suffire (sous certaines conditions de complexité). Pour les accès à des données sensibles (santé, infractions, données bancaires), l’authentification multifacteur est expressément recommandée et son absence constitue un manquement en cas de contrôle. La CNIL a sanctionné plusieurs organisations pour l’absence de MFA sur des accès administrateurs ou sur des accès à distance à des données personnelles.

C. La DSP2 : l’authentification forte dans le secteur financier

La directive sur les services de paiement (DSP2, directive (UE) 2015/2366) a été le premier texte européen a imposer l’authentification forte de manière prescriptive pour les paiements électroniques et l’accès aux comptes en ligne. La DSP2 définit l’authentification forte comme “une authentification fondée sur l’utilisation de deux éléments ou plus appartenant aux catégories de la connaissance, de la possession et de l’inherence, qui sont indépendants”. Cette définition fait référence dans l’ensemble du droit européen.

D. Les recommandations de l’ANSSI

L’ANSSI recommandé l’authentification forte pour l’ensemble des accès à distance, les accès administrateurs, les accès aux systèmes critiques et les accès aux données sensibles. Le guide d’hygiène informatique de l’ANSSI (mesure 10) place l’authentification forte parmi les mesures fondamentales. Dans le cadre de NIS2, l’ANSSI est susceptible de vérifier la mise en oeuvre de la MFA lors de ses contrôles.

II. Les facteurs d’authentification : théorie et pratique

A. Les trois catégories de facteurs

L’authentification forte repose sur la combinaison d’au moins deux facteurs appartenant à des catégories différentes :

Facteur de connaissance (ce que je sais). Mot de passe, code PIN, réponse à une question secrète. C’est le facteur le plus repandu mais aussi le plus vulnérable : les mots de passe peuvent être derobes par phishing, volés dans des fuites de bases de données, devines par force brute ou obtenus par ingénierie sociale.

Facteur de possession (ce que j’ai). Telephone mobile (réception de SMS ou application d’authentification), clé de sécurité physique (FIDO2/WebAuthn), carte a puce, token matériel. Ce facteur est significativement plus difficile a compromettre à distance car il suppose un accès physique au dispositif.

Facteur d’inherence (ce que je suis). Empreinte digitale, reconnaissance faciale, reconnaissance vocale, scan de l’iris. La biométrie offre un niveau de sécurité élevé mais soulevé des questions spécifiques en matière de protection des données personnelles (le RGPD classe les données biométriques parmi les données sensibles, article 9).

B. La combinaison minimale

Pour être qualifiée de “forte”, l’authentification doit combiner au moins deux facteurs de catégories différentes. Deux mots de passe (deux facteurs de connaissance) ne constituent pas une authentification forte. Un mot de passe (connaissance) combiné avec un code envoyé par SMS (possession du téléphone) constitue une authentification forte, bien que la sécurité du SMS soit contestee.

C. L’évolution vers le passwordless

La tendance actuelle est l’élimination du mot de passe au profit de méthodes plus sûres et plus ergonomiques. Les standards FIDO2/WebAuthn permettent une authentification sans mot de passe basée sur la possession d’une clé de sécurité ou d’un dispositif biométrique. Cette approche élimine le risque de phishing du mot de passe tout en simplifiant l’expérience utilisateur. Les grandes plateformes (Microsoft, Google, Apple) supportent désormais les passkeys, une implémentation grand public de FIDO2.

III. Les méthodes MFA : avantages et limités

A. SMS et appel vocal

Le SMS a été la première méthode MFA largement déployée. L’utilisateur reçoit un code a usage unique par SMS qu’il saisit après son mot de passe. Malgré sa simplicité, cette méthode est aujourd’hui considérée comme la moins sure des méthodes MFA.

Les faiblesses du SMS sont documentées : le SIM swapping (transfert frauduleux du numéro vers une autre carte SIM), l’interception des SMS via des failles du protocole SS7, le phishing en temps réel (l’attaquant collecté le code SMS et l’utilise immédiatement) et la réception des SMS sur des appareils non sécurisés.

L’ANSSI et le NIST (SP 800-63B) recommandent de ne plus utiliser le SMS comme facteur d’authentification pour les accès a haut risque. Toutefois, un SMS est toujours nettement préférable à l’absence de second facteur.

B. Applications d’authentification (TOTP)

Les applications d’authentification (Google Authenticator, Microsoft Authenticator, Authy) génèrent des codes a usage unique a base de temps (TOTP – Time-based One-Time Password, RFC 6238). Le code est généré localement sur l’appareil et changé toutes les 30 secondes.

Cette méthode est significativement plus sure que le SMS car elle ne transite pas par le réseau téléphonique et n’est pas vulnérable au SIM swapping. Sa limite est qu’elle reste vulnérable au phishing en temps réel : un attaquant qui collecté simultanément le mot de passe et le code TOTP peut les utiliser immédiatement.

C. Notifications push

Les solutions push (Microsoft Authenticator, Duo, Okta) envoient une notification sur le téléphone de l’utilisateur, qui approuvé ou refusé la connexion. Cette méthode est plus ergonomique que la saisie d’un code mais peut être vulnérable aux attaques par fatigue MFA (MFA bombing) : l’attaquant déclenche des dizaines de notifications jusqu’à ce que l’utilisateur approuvé par lassitude. Les solutions modernes combinent la notification push avec la saisie d’un numéro contextuel (number matching) pour contrer cette attaque.

D. Clés de sécurité physiques (FIDO2/WebAuthn)

Les clés de sécurité physiques (YubiKey, Google Titan, SoloKeys) sont considérées comme la méthode MFA la plus sure. Elles utilisent le protocole FIDO2/WebAuthn qui offre une resistance native au phishing : la clé ne répond qu’aux requêtes provenant du domaine légitime. L’attaquant qui créé un site de phishing ne peut pas obtenir la réponse de la clé.

Leur limite est le coût (20 à 70 euros par clé, deux clés recommandées par utilisateur) et la contrainte logistique (distribution, gestion des clés perdues). Elles sont particulièrement recommandées pour les administrateurs, les dirigeants et les comptes a haut risque.

E. Biometrie

La biométrie (empreinte digitale, reconnaissance faciale) est de plus en plus utilisée comme facteur d’authentification, notamment sur les smartphones et les ordinateurs portables. Elle offre un excellent équilibre entre sécurité et ergonomie.

Toutefois, l’utilisation de la biométrie comme facteur d’authentification en entreprise soulevé des questions RGPD spécifiques. Les données biométriques sont des données sensibles au sens de l’article 9 du RGPD, et leur traitement est en principe interdit sauf exceptions (consentement explicité, obligation légale, intérêt public). La CNIL a publié des lignes directrices sur l’utilisation de la biométrie en entreprise qui encadrent strictement les conditions de déploiement. Un audit RGPD doit nécessairement évaluer la conformité du dispositif biométrique.

IV. Strategie de déploiement de la MFA

A. Approche par les risques

Le déploiement de la MFA doit suivre une approche par les risques. Tous les accès ne nécessitent pas le même niveau d’authentification. La priorité est la suivante :

Priorite 1 (immédiat) : comptes administrateurs (domaine, infrastructure, cloud, applications critiques), accès à distance (VPN, bureau à distance), accès aux données sensibles (données de santé, données financières, données personnelles a grande échelle).

Priorite 2 (court terme) : accès aux applications métier contenant des données personnelles, accès aux environnements cloud (SaaS, IaaS, PaaS), messagerie électronique.

Priorite 3 (moyen terme) : ensemble des accès utilisateurs, accès physiques aux locaux sensibles (salles serveurs, archives).

Cette priorisation s’appuie sur l’analyse de risques qui identifie les systèmes et données les plus critiques. La politique de sécurité doit définir les exigences MFA par catégorie d’accès.

B. Choix de la solution

Le choix de la solution MFA dépend de plusieurs facteurs : le parc technologique existant (Active Directory, Azure AD, solution IAM), le budget, le nombre d’utilisateurs, le niveau de risque et la capacité d’accompagnement au changement.

Les solutions d’entreprise (Microsoft Entra ID, Okta, Duo, Thales) offrent une gestion centralisée, des politiques d’accès conditionnel (exiger la MFA selon le contexte : localisation, appareil, niveau de risque) et des tableaux de bord de conformité. Les solutions open source (privacyIDEA, LinOTP) conviennent aux organisations qui souhaitent maîtriser l’infrastructure.

C. Accompagnement des utilisateurs

Le déploiement de la MFA echoue souvent non pas pour des raisons techniques mais par manqué d’accompagnement. Les utilisateurs percoivent la MFA comme une contrainte supplémentaire si son utilité n’est pas expliquee. Les bonnes pratiques incluent une communication claire sur les raisons du déploiement (protection contre le vol d’identifiants, obligation réglementaire), un accompagnement personnalisé pour l’inscription des facteurs, la mise à disposition d’un support dédié pendant la phase de déploiement, et la prise en compte des cas particuliers (utilisateurs sans smartphone, environnements deconnectes).

D. Gestion des exceptions et contournements

Les contournements de la MFA sont le talon d’Achille du dispositif. Les exceptions doivent être strictement encadrees : tout contournement doit être approuvé par le RSSI, documenté, limite dans le temps et compense par des mesures alternatives (surveillance renforcée, restriction d’accès). Le suivi des exceptions fait partie du contrôle de conformité NIS2.

V. MFA et prévention des cyberattaques

A. Impact sur les attaques par rançongiciel

La MFA est l’une des mesures les plus efficaces contre les attaques par rançongiciel. Microsoft estimé que la MFA bloqué 99,9% des attaques par compromission de comptes. Les rançongiciels exploitent massivement les identifiants volés pour se propager (mouvement lateral via RDP, compromission d’Active Directory). La MFA sur les accès administrateurs et les accès à distance réduit drastiquement la surface d’attaque.

B. Protection contre le phishing

La MFA protégé contre le phishing classique (l’attaquant obtient le mot de passe mais ne dispose pas du second facteur). Toutefois, les méthodes MFA vulnérables au phishing en temps réel (SMS, TOTP) ne protègent pas contre les attaques de type adversary-in-thé-middle (AitM). Seules les clés FIDO2/WebAuthn offrent une protection native contre ce type d’attaque. Les tests d’intrusion doivent inclure des scénarios de contournement de la MFA.

C. Conformité et audit

La mise en oeuvre de la MFA est un point de contrôle systématique lors des audits de sécurité informatique. Les auditeurs verifient le taux de couverture (pourcentage de comptes protégés par la MFA), les méthodes utilisées, la gestion des exceptions et l’existence de politiques d’accès conditionnel. Un audit RGPD complet doit également vérifier que les accès aux données personnelles sont protégés par la MFA lorsque le risque le justifié.

L’ENISA publié des recommandations détaillées sur l’authentification forte dans le cadre de NIS2, et la CNIL fournit des guides spécifiques pour le choix des méthodes d’authentification conformes au RGPD. Le texte de NIS2 est disponible intégralement sur EUR-Lex et les recommandations de la CNIL sur son site officiel.

FAQ

L’authentification forte est-elle obligatoire sous NIS2 ?

Oui. L’article 21 de NIS2 mentionne explicitement les “solutions d’authentification à plusieurs facteurs ou d’authentification continue” parmi les mesures minimales de gestion des risques imposées aux entités essentielles et importantes. C’est l’une des rares mesures techniques spécifiquement nommees dans la directive, ce qui souligne son importance. L’absence de MFA constitue un manquement direct a NIS2.

Le SMS est-il un facteur d’authentification acceptable ?

Le SMS reste un facteur d’authentification accepté par la plupart des réglementations, y compris le RGPD et NIS2 qui ne prescrivent pas de méthode spécifique. Toutefois, l’ANSSI et le NIST déconseillent le SMS pour les accès a haut risque en raison de ses vulnérabilités connues (SIM swapping, interception SS7, phishing en temps réel). Un SMS est toujours preferableble à l’absence de second facteur, mais les organisations devraient privilégier les applications d’authentification (TOTP) ou les clés de sécurité physiques (FIDO2) pour les accès critiques.

Comment déployer la MFA dans une organisation de plusieurs milliers d’utilisateurs ?

Le déploiement a grande échelle nécessité une approche progressive et structurée. Commencer par les populations les plus a risque (administrateurs, dirigeants, accès à distance), puis étendre progressivement à l’ensemble des utilisateurs. La communication et l’accompagnement sont essentiels : expliquer le pourquoi, fournir des guides pas a pas, mettre en place un support dédié. Les solutions d’entreprise offrent des fonctionnalités de déploiement par groupes, de suivi du taux d’adoption et de gestion centralisée des exceptions. Prévoir un budget de 3 à 12 mois pour un déploiement complet.

La biométrie peut-elle remplacer le mot de passe ?

Techniquement, oui. Les standards FIDO2/WebAuthn permettent une authentification sans mot de passe combinant la biométrie (inherence) avec une clé cryptographique stockee sur l’appareil (possession). Cette approche est plus sure et plus ergonomique qu’un mot de passe. Toutefois, l’utilisation de la biométrie en entreprise est encadrée par le RGPD (les données biométriques sont des données sensibles au sens de l’article 9) et par les recommandations de la CNIL, ce qui impose une analyse d’impact préalable et des garanties de protection renforcées.