Partagez notre article , Choisissez votre plateforme

Avec la montée en flèche des cyberattaques basées sur l’usurpation d’identité, renforcer la sécurité des systèmes d’information est une priorité absolue pour les entreprises.

L’authentification à un seul facteur, qui consiste dans l’utilisation d’un mot de passe unique, n’est plus suffisante : elle expose les systèmes d’information des entreprises à des risques importants. En effet, les cybercriminels disposent désormais d’outils puissants pour deviner ou voler les mots de passe. Ils tirent également parti de la réutilisation des mots de passe et de l’usage de mots de passe faibles. De plus, même un mot de passe fort et unique ne garantit plus une sécurité optimale, car l’essor de l’intelligence artificielle a permis le développement de méthodes d’attaque toujours plus sophistiquées.

Dans cet article, nous passons en revue les raisons pour lesquelles la MFA (Multi-Factor Authentication ou Authentification Multifacteurs) est un dispositif de sécurité informatique aujourd’hui indispensable pour les TPE et PME, ainsi que les bonnes pratiques de MFA à adopter en 2025.

Le paysage actuel des menaces

En 2024, les cybercriminels ont principalement exploité deux vecteurs d’attaque : le phishing et le credential stuffing.

  • Pour rappel, le phishing est une attaque informatique par email où un pirate tente d’obtenir d’un utilisateur qu’il révèle ses identifiants ou d’autres informations sensibles.
  • Le credential stuffing consiste, quant à lui, à utiliser des noms d’utilisateur et mots de passe volés lors de fuites de données pour tenter d’accéder à d’autres comptes. Par exemple, un hacker obtient des informations de connexion à la suite d’une intrusion sur un site d’achat en ligne. Il peut alors tenter d’utiliser les mêmes identifiants pour accéder à votre boîte mail, à vos services bancaires, à vos médias sociaux…

Quelques chiffres en bref…

  • Les attaques de phishing visant à voler des identifiants ont augmenté de 703 % au second semestre 2024 (Source : Prepare for 2025 – 2024 Phishing Intelligence Report – SlashNext)
  • Le coût moyen d’une violation liée au phishing a atteint 4,88 millions de dollars, soit une hausse d’environ 10 % par rapport à 2023. (Source : Ponemon 2024 – IBM)
  • En 2024, 2 millions de cyberattaques par jour étaient alimentées par des bots d’IA dans le monde. La France s’est classée deuxième en Europe, avec 17 % des attaques web menées par des robots. (Source : 2024 Bad Bot Report – Imperva)
  • Pour donner un exemple, des pirates ont accédé aux systèmes de France Travail entre le 6 février et le 5 mars 2024, compromettant les données personnelles de 43 millions de personnes. Pour cela, ils ont exploité des failles de sécurité dans le système et ont obtenu un accès non autorisé à des outils internes, ce qui leur a permis de contourner les protections mises en place.

Marie-Laure Denis, La Présidente de la CNIL, estime que « 80 % des grandes violations de données enregistrées en 2024 auraient pu être évitées » grâce à une authentification forte.

La MFA représente donc un rempart essentiel à la sécurité de votre système d’information, capable de bloquer certaines intrusions avant qu’elles ne paralysent votre entreprise.

Qu’est-ce que l’authentification multifacteurs (MFA) ?

La MFA est un mécanisme de sécurité qui exige des utilisateurs qu’ils présentent au moins deux facteurs indépendants pour valider leur identité avant d’accéder à un système, à une application ou à des données.

Ces facteurs doivent appartenir au moins à deux des trois catégories suivantes :

  • Quelque chose que vous connaissez – par exemple, un mot de passe ou un code PIN
  • Quelque chose que vous possédez – un smartphone, une clé physique (token) ou une carte à puce
  • Quelque chose que vous êtes – des données biométriques : empreinte digitale, reconnaissance faciale ou rétinienne

Les méthodes de MFA les plus courantes incluent :

  • Les applications TOTP (Time-based One-Time Password) (codes temporaires à 6 chiffres)
  • Les SMS (codes envoyés par message texte)
  • Les tokens physiques (clés USB ou autres dispositifs)
  • Les solutions biométriques (empreintes digitales, reconnaissance faciale)
  • Les notifications push (demande d’autorisation sur mobile)

Pourquoi la MFA est-elle incontournable ?

  • La MFA empêche qu’un système ou un compte piraté soit utilisé pour accéder à d’autres systèmes ou comptes au sein du même réseau.
    Elle agit comme une barrière entre chaque point d’accès du système d’information. Il devient alors beaucoup plus difficile pour un attaquant de se déplacer au sein du réseau ou d’obtenir des privilèges plus élevés, comme des privilèges administrateurs par exemple, et ce, même après avoir réussi à compromettre un compte.
  • La MFA est de plus en plus exigée sur le plan réglementaire.
    La MFA est une mesure de contrôle d’accès qui est désormais exigée par la plupart des règlementations comme le RGPD, DORA ou NIS2. Le non-respect de ces obligations règlementaires peut entraîner des sanctions financières et une perte de confiance des partenaires ou des clients.
  • La MFA est un pilier fondamental de l’architecture Zero Trust.
    Dans une approche Zero Trust, chaque tentative d’accès au système ou au service doit être rigoureusement approuvée. Cette approche de la sécurité informatique suppose que tous les éléments auxquels le système informatique est confronté sont, par défaut, suspicieux. La MFA garantit que chaque tentative d’accès, interne ou externe, est validée par plusieurs facteurs d’authentification.

L’intelligence artificielle, un nouveau défi pour la cybersécurité

L’essor de l’intelligence artificielle a permis aux cybercriminels de développer des méthodes d’attaque encore plus sophistiquées. Par exemple, l’IA peut automatiser des tentatives de connexion en utilisant des noms d’utilisateur et des mots de passe préalablement dérobés.

Selon l’Index Cisco Cyber Readiness 2025, 86 % des responsables cybersécurité ont déclaré avoir subi au moins 1 incident lié à l’IA au cours de l’année écoulée.

La MFA joue un rôle clé contre ce type d‘attaques en bloquant l’accès aux pirates même lorsque le mot de passe est correct, puisqu’un deuxième facteur d’authentification (par exemple, une notification mobile ou un code généré par une application) est nécessaire. Cela limite fortement les risques liés à l’automatisation des attaques et empêche certaines tentatives de phishing d’obtenir un contrôle total du compte piraté.

Bonnes pratiques pour la MFA en 2025

Même si vous avez déjà déployé une solution de MFA au sein de votre structure, il est important de vérifier qu’elle est à jour et bien configurée.

MFA adaptative ou basée sur le risque

Les niveaux d’authentification de la MFA doivent être adaptés en fonction du contexte.

Les signaux pris en compte peuvent inclure :

  • l’emplacement géographique,
  • l’appareil utilisé,
  • l’heure de la connexion,
  • des comportements inhabituels, comme une tentative d’accès depuis un pays étranger.

Par exemple, un employé qui se connecte à son compte depuis son poste habituel au bureau n’aura besoin que d’un simple code d’authentification pour accéder au service, tandis qu’un accès suspect depuis un nouvel appareil en dehors du pays déclenchera une authentification renforcée.
Cela permet de renforcer la sécurité sans compromettre l’expérience utilisateur

Renforcement des solutions de MFA SMS

La MFA par SMS est vulnérable aux attaques par échange de carte SIM (SIM swapping) et aux attaques par interception :

  • Le SIM swapping est une technique où un attaquant persuade l’opérateur téléphonique de transférer le numéro de téléphone de sa victime sur une nouvelle carte SIM qu’il contrôle, ce qui lui permet de recevoir les SMS et appels destinés à cette personne.
  • L’interception désigne la capture ou le détournement des messages SMS contenant les codes d’autentification. Ce détournement est souvent réalisé via des logiciels malveillants installés sur le téléphone.

Pour ces raisons, il est préférable de renforcer la MFA par SMS ou de la remplacer par des applications TOTP (par exemple Google Authenticator), des notifications push ou des clés physiques (comme YubiKey).

Adoption de solutions d’identification sans mot de passe

Les solutions d’identification sans mot de passe comme FIDO2 ou l’authentification biométrique réduisent considérablement les risques liés au vol ou au phishing des mots de passe.

FIDO2 est un standard d’authentification qui repose principalement sur deux facteurs :

  • Quelque chose que vous possédez (la clé cryptographique stockée sur un appareil),
  • Quelque chose que vous êtes (la biométrie, qui peut être utilisée comme facteur supplémentaire).

Cette approche renforce la sécurité des accès tout en simplifiant l’expérience utilisateur, car elle élimine la dépendance aux mots de passe traditionnels. Elle représente une étape majeure vers une authentification plus fiable et moderne, adaptée aux enjeux actuels de sécurité informatique.

Formation des utilisateurs et pédagogie

Le succès de la mise en place de l’authentification multifacteurs au sein d’un service ou d’un système d’information repose en grande partie sur l’adhésion des utilisateurs.

Il est important de les sensibiliser aux bénéfices de la MFA, d’expliquer pourquoi elle est nécessaire, et comment elle protège à la fois les collaborateurs et l’entreprise. Des procédures mal comprises peuvent engendrer de la frustration et des tentatives de contournement qui compromettent la sécurité globale du système d’information.

Il est préférable d’envisager un déploiement progressif de la MFA, accompagné de formations et de supports. Une bonne communication facilite l’intégration de la MFA dans les habitudes des utilisateurs et renforce son efficacité.

À retenir sur la MFA en 2025 :

  1. Un mot de passe n’est plus suffisant pour assurer la sécurité
    Les attaques par hameçonnage, le vol d’identifiants et l’automatisation avec l’IA rendent l’authentification avec un simple mot de passe obsolète.
  2. La MFA est devenue le nouveau standard minimal de sécurité
    En ajoutant une barrière supplémentaire difficile à contourner, la MFA prévient l’accès au compte ou au système par les pirates, même en cas de compromission de mot de passe.
  3. La MFA est un facteur de conformité
    Elle répond aux exigences de réglementations comme le RGPD, DORA ou NIS2, et renforce la sécurité des accès dans une logique de vérification permanente de type Zero Trust.
  4. La réussite de la MFA repose autant sur les usages des utilisateurs que sur la technologie
    Pour être efficace, une MFA doit être bien configurée, adaptée aux usages et bien comprise. La formation et l’accompagnement des utilisateurs est indispensable pour réussir.
  5. Vers une authentification sans mot de passe
    Les solutions basées sur la biométrie ou les clés physiques (FIDO2) permettent de s’orienter vers une sécurité renforcée tout en proposant une expérience utilisateur simplifiée.

Ainsi, l’authentification multifacteurs n’est plus une option : c’est un minimum en matière de cybersécurité.
Combinée à une stratégie de sécurité globale, elle renforce votre posture défensive, protège vos données critiques, et rassure vos clients et partenaires. En 2025, assurez-vous que votre solution MFA soit moderne, robuste et bien intégrée à votre environnement IT.

Nos experts en sécurité informatique et conformité informatique vous accompagnent, prenez contact dès à présent.

Partagez notre article , Choisissez votre plateforme

Table des matières :

Inscrivez-vous à la newsletter Déessi !

« * » indique les champs nécessaires

Politique de confidentialité.*
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories :

Actualités Déessi (28) Audit informatique / SI (3) Cloud Computing (41) Collectivites (1) Communication clients (7) Conformité informatique (6) DSI (57) E-commerce (2) Gestion de crise (10) Green IT (2) Hébergement professionnel (22) Infographies (16) Infogérance (22) Ingénierie et développement (11) Livre blanc (3) Maintenance informatique (5) Messagerie hébergée (2) PCA/PRA (11) Quizz (2) RGPD (7) Résilience informatique (12) Sauvegarde externalisée (7) Sécurité informatique (66) Télétravail (6)