La double authentification – ou MFA (Multi-Factor Authentication) – s’impose progressivement comme un standard de sécurité. Pourtant, sa mise en œuvre continue de susciter des interrogations : complexité, coûts, acceptabilité utilisateur, entre autres.
Cécilia Lopes, directrice générale d’EBS Group France, décrypte les enjeux opérationnels pour les DSI et responsables informatiques.
Solutions Numériques & Cybersécurité (SNC) : Les enjeux du MFA sont-ils les mêmes pour une PME que pour un grand groupe ?
Cécilia Lopes (C.L.) :
On retrouve des problématiques très similaires, quelle que soit la taille de l’organisation. Le premier bénéfice du MFA est extrêmement concret : la protection en cas de perte ou de vol d’un poste de travail.
Depuis le Covid, les PC portables se sont généralisés. Si un collaborateur perd son équipement, la double authentification permet aux équipes IT – qu’elles soient internes ou externalisées – de bloquer immédiatement les accès. Même si un mot de passe est compromis, l’attaquant ne pourra pas exploiter la machine.
Deuxième cas très pragmatique : la gestion d’un collaborateur dont les droits doivent être suspendus en urgence, pour fraude ou départ conflictuel par exemple. Avec un simple mot de passe, l’entreprise a peu de leviers à distance. Avec le MFA, l’accès peut être désactivé instantanément.
Mais au fond, le véritable sujet n’est pas la taille de l’entreprise. Il dépend du caractère stratégique ou confidentiel de la donnée. Plus la donnée a de la valeur, plus le MFA devient indispensable.
SNC : Le MFA est aussi un enjeu de souveraineté numérique ?
C.L. : Absolument. On parle beaucoup de souveraineté numérique aujourd’hui. Les organisations prennent conscience de la sensibilité de leurs données et veulent en garder le contrôle.
Le MFA s’inscrit dans cette logique. Il sécurise les connexions, y compris lorsque les collaborateurs travaillent depuis un réseau non maîtrisé : hôtel, café, déplacement à l’étranger… Il apporte une couche de sécurité supplémentaire sur l’accès au système d’information.
Cela contribue également à réduire les risques d’attaques par rançongiciel. On ne sécurise pas seulement le poste, on sécurise le point d’entrée vers le réseau de l’entreprise.
SNC : Beaucoup d’organisations évoquent une mise en place complexe. Est-ce réellement le cas ?
C.L. : Comme tout changement, cela bouscule les habitudes. Mais la complexité technique est aujourd’hui largement maîtrisée.
Dans nos déploiements, nous avons automatisé près de 80 % des paramétrages grâce à l’IA. Les opérations répétitives et fastidieuses sont industrialisées via des consoles d’administration centralisées, souvent en mode full cloud.
La difficulté est davantage liée à l’usage. Le collaborateur doit parfois utiliser son téléphone ou une clé de sécurité pour valider sa connexion. Si son poste se met en veille toutes les dix minutes, il peut avoir l’impression de devoir s’authentifier en permanence.
En réalité, il s’agit d’une question de pédagogie et d’adaptation des paramétrages. Nous sommes dans une phase de transition : les usages ont évolué plus vite que les habitudes. Le MFA fait partie de cette montée en maturité.
SNC : Le MFA représente-t-il un investissement lourd ?
C.L. : On parle de quelques euros par poste, généralement deux à trois euros. Ce n’est pas une dizaine d’euros.
La vraie question n’est pas le coût, mais le risque. Combien coûte une fuite de données stratégiques ? Combien coûte un arrêt d’activité lié à un ransomware ?
Aujourd’hui, une grande partie d’entreprises victimes de rançongiciel finissent par payer la rançon, sans garantie de récupération complète des données. Comparé à ces montants, le coût du MFA est marginal.
C’est un arbitrage classique : investir quelques euros par poste pour éviter des pertes potentiellement critiques. Le retour sur investissement est souvent évident lorsqu’on raisonne en coût horaire salarié, perte d’exploitation ou atteinte à l’image.
SNC : Avec l’essor des agents IA et des robots logiciels, faut-il aussi appliquer le MFA aux identités non humaines ?
C.L. : La gestion des identités non humaines n’est pas totalement nouvelle. Avant l’IA, il existait déjà des scripts, des tâches automatisées, des développements spécifiques qui se connectaient aux systèmes.
La différence aujourd’hui, c’est la multiplication des agents IA et l’hybridation des environnements : on-premise, cloud, SaaS, outils de sécurité, automatisation… L’écosystème est devenu beaucoup plus hétérogène.
Avant d’intégrer ces technologies, il faut sécuriser l’environnement et recenser tout ce qui se connecte au réseau :
-
les utilisateurs humains,
-
les routines automatiques,
-
les processus de sauvegarde,
-
les synchronisations nocturnes,
-
les agents IA.
Chaque entité doit être identifiée, référencée et contrôlée. Le MFA et les mécanismes d’authentification forte permettent précisément de distinguer une connexion légitime d’une tentative malveillante.
SNC : En résumé, que diriez-vous à une DSI encore hésitante ?
C.L. : Le MFA n’est plus un “plus”, c’est un socle. Les menaces se sont industrialisées. Les environnements sont hybrides. Les usages sont mobiles. Dans ce contexte, continuer à se reposer uniquement sur un mot de passe revient à protéger une porte stratégique avec une serrure ancienne génération.
La question n’est plus “Faut-il déployer le MFA ?” mais “Comment le déployer intelligemment et sans friction excessive ?”.
