Pourquoi la MFA est non négociable en 2026
Plus de 80 % des compromissions d'entreprise commencent par un identifiant volé (phishing, fuite tierce, mot de passe partagé). Sans MFA, ce mot de passe suffit. Avec MFA, l'attaquant doit aussi posséder le second facteur — qui n'est pas en sa possession.
La feuille de route ANSSI 2026-2027 fixe d'ailleurs la MFA pour tous les administrateurs au 31 décembre 2026. Ce qui est obligatoire pour l'État devient la norme pour les PME exigeantes.
Niveau 1 — MFA par SMS : mieux que rien, pas suffisant
Le code à usage unique envoyé par SMS est la forme la plus accessible. C'est aussi la plus faible.
Avantages : aucun matériel à acheter, aucune app à installer, fonctionne avec n'importe quel téléphone.
Faiblesses :
- SIM swapping : l'attaquant convainc l'opérateur de transférer votre numéro sur sa propre carte SIM. Tous vos SMS arrivent chez lui.
- Interception SS7 : protocole télécom historique vulnérable, exploité par certains attaquants étatiques ou groupes criminels avancés.
- Phishing en temps réel : l'attaquant pousse une fausse page de connexion, vous y entrez votre code SMS, il l'utilise dans la seconde sur le vrai site.
Verdict : à activer partout où aucune autre MFA n'est disponible, mais à remplacer dès que possible sur les comptes sensibles.
Niveau 2 — Applications TOTP : le bon compromis
Microsoft Authenticator, Google Authenticator, Authy, FreeOTP. L'application génère un code à 6 chiffres qui change toutes les 30 secondes. Aucun message ne transite sur le réseau télécom.
Avantages : gratuit, fonctionne sans réseau, immunisé au SIM swapping, supporté par tous les services pros.
Faiblesses :
- Phishing en temps réel : même problème que le SMS, l'attaquant pousse une fausse page et utilise immédiatement le code.
- Vol du téléphone : si le téléphone n'est pas verrouillé, l'attaquant accède à l'app.
- Migration de téléphone : changer de téléphone demande de réenrôler manuellement chaque compte. Penser à activer la sauvegarde chiffrée si l'app la propose (Authy, Microsoft Authenticator).
Verdict : convient à 80 % des usages PME. C'est la cible standard pour la majorité des comptes.
Niveau 3 — Clés FIDO2 : la référence anti-phishing
YubiKey 5 (Yubico), SoloKey, NitroKey, Google Titan. Une petite clé USB-A/USB-C/NFC qu'on touche pour valider la connexion. Coût : 30 à 70 € par utilisateur.
Avantages décisifs :
- Immunité au phishing : la clé vérifie cryptographiquement le domaine du site. Même si l'utilisateur tape son mot de passe sur une fausse page, la clé refuse de signer la connexion. Aucune autre méthode ne fait ça.
- Aucune dépendance au téléphone : pratique pour les administrateurs, les comptes urgences, les usages industriels.
- Pas de batterie, durée de vie 10 ans.
Limites : coût, perte de la clé (toujours acheter au moins 2 clés par utilisateur — l'une au bureau, l'autre à domicile en secours), tous les services ne supportent pas FIDO2 (mais Microsoft 365, Google Workspace, GitHub, AWS, Cloudflare, et la plupart des grands SaaS l'ont en 2026).
Verdict : indispensable pour les comptes administrateur. Recommandé pour les dirigeants. Très bon investissement pour tous les utilisateurs sur leurs comptes les plus sensibles.
La stratégie recommandée par usage
- Comptes administrateur (AD, M365 Global Admin) : FIDO2 obligatoire. Pas de TOTP, pas de SMS.
- Dirigeants et fonctions sensibles (compta, RH) : FIDO2 prioritaire, TOTP fallback.
- Utilisateurs standards : TOTP partout, FIDO2 en plus si budget.
- Services qui ne supportent que SMS : activer le SMS plutôt que rien, et signaler à l'éditeur que l'absence de TOTP/FIDO2 est un frein à votre choix.
À retenir
Ce que Scryptoura fait pour vous
Notre Diagnostic Découverte évalue votre couverture MFA actuelle (qui a quoi, sur quels services). Si vous voulez déployer FIDO2 sur les comptes admin, notre offre Cybersécurité couvre l'achat groupé des clés et l'accompagnement de l'équipe sur 2-3 jours.