Aller au contenu principal
TPE/PMEMFABonnes pratiquesOutilsDébutant

MFA pour TPE et PME : déploiement simple, budget quasi-zéro

L'authentification à deux facteurs (MFA) est la mesure de sécurité au meilleur rapport coût/efficacité. Comment la déployer concrètement dans votre petite entreprise, étape par étape.

Par Jean-Christophe Bork
Téléphone mobile avec application d'authentification MFA

Si vous ne deviez mettre en place qu’une seule mesure de sécurité dans votre entreprise cette année, ce serait l’authentification à deux facteurs — le MFA. Simple à déployer, peu ou pas coûteux, et d’une efficacité documentée : selon Microsoft, le MFA bloque plus de 99 % des attaques de compromission de comptes. Voici comment le déployer concrètement.

Qu’est-ce que le MFA et pourquoi c’est si important ?

L’authentification à deux facteurs (MFA pour Multi-Factor Authentication, ou 2FA pour Two-Factor Authentication) ajoute une deuxième couche de vérification à la connexion. En plus du mot de passe, vous devez prouver votre identité par un second moyen :

  • Un code envoyé par SMS
  • Un code généré par une application d’authentification (Microsoft Authenticator, Google Authenticator, Authy…)
  • Une notification push sur votre téléphone
  • Une clé physique (YubiKey)

Pourquoi les mots de passe seuls ne suffisent plus

Les mots de passe sont volés en permanence. Bases de données compromises revendues sur des forums, logiciels malveillants qui enregistrent les frappes clavier (keyloggers), phishing qui redirige vers des fausses pages de connexion. Dans tous ces cas, l’attaquant obtient votre mot de passe.

Avec le MFA activé, votre mot de passe volé ne suffit plus. Il faut aussi accéder à votre téléphone pour valider la connexion. Cette deuxième barrière suffit à arrêter la grande majorité des tentatives automatisées.

Où activer le MFA en priorité

Tous les comptes ne présentent pas le même risque. Voici l’ordre de priorité :

1. La messagerie professionnelle — priorité absolue

La messagerie est la porte d’entrée vers tout le reste. Un compte mail compromis permet de réinitialiser tous les autres mots de passe, d’accéder aux échanges confidentiels, et de se faire passer pour vous auprès de vos clients et fournisseurs.

Si vous utilisez Microsoft 365 ou Google Workspace, activez le MFA immédiatement. C’est inclus dans votre abonnement.

2. Les accès distants (VPN, bureau à distance)

Si vous ou vos collaborateurs vous connectez à distance à vos systèmes, c’est un point d’entrée critique. Le MFA sur les accès distants est non négociable.

3. Les outils financiers et comptables

Votre logiciel de comptabilité, votre interface bancaire, votre outil de facturation. Compromis, ces outils donnent accès à des données sensibles et peuvent permettre des virements frauduleux.

4. Les outils RH et de gestion du personnel

Données de paie, données personnelles des salariés — soumis au RGPD. Une compromission peut avoir des conséquences réglementaires importantes.

Déploiement pas à pas : Microsoft 365

Microsoft 365 est le cas le plus fréquent dans les TPE et PME. Voici comment activer le MFA.

Pour l’administrateur

  1. Connectez-vous au Centre d’administration Microsoft 365 : admin.microsoft.com
  2. Allez dans Paramètres > Paramètres de l’organisation > Sécurité et confidentialité
  3. Cherchez Authentification multifacteur ou accédez directement à https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx
  4. Sélectionnez les utilisateurs pour lesquels activer le MFA
  5. Cliquez sur Activer

Alternative plus simple : les paramètres de sécurité par défaut

Microsoft propose des paramètres de sécurité par défaut qui activent le MFA pour tous les utilisateurs automatiquement. C’est la méthode recommandée pour les petites structures.

Dans le Centre d’administration Microsoft Entra (anciennement Azure Active Directory) :

  1. Propriétés > Gérer les paramètres de sécurité par défaut
  2. Activer les paramètres de sécurité par défaut

Ce qui se passe ensuite : lors de leur prochaine connexion, vos utilisateurs seront invités à configurer leur méthode d’authentification supplémentaire (généralement l’application Microsoft Authenticator sur leur téléphone).

Pour les utilisateurs : configurer Microsoft Authenticator

  1. Télécharger Microsoft Authenticator sur son smartphone (iOS ou Android)
  2. Lors de la prochaine connexion à Microsoft 365, suivre les instructions pour lier l’application
  3. À chaque connexion ultérieure depuis un nouvel appareil, valider via l’application

Durée de configuration : environ 5 minutes par utilisateur. Ce n’est pas une opération complexe — la plupart des utilisateurs la font seuls avec les instructions à l’écran.

Déploiement : Google Workspace

Pour les organisations utilisant Google Workspace :

  1. Connectez-vous à la Console d’administration Google : admin.google.com
  2. Sécurité > Authentification > Vérification en deux étapes
  3. Activez la vérification en deux étapes pour votre organisation
  4. Choisissez si vous souhaitez la rendre obligatoire ou optionnelle

Application recommandée : Google Authenticator ou tout autre authenticator compatible TOTP (Time-based One-Time Password).

Pour les autres services (hors suite bureautique)

Pour les services en ligne qui ne font pas partie de votre suite bureautique principale (logiciel de comptabilité, outil de facturation, CRM, hébergeur web…), la démarche est généralement similaire :

  1. Accédez aux paramètres de sécurité de votre compte
  2. Cherchez la section Authentification à deux facteurs ou Sécurité
  3. Activez et configurez selon les instructions

La plupart des services modernes supportent les applications d’authentification standards (TOTP). Authy et Bitwarden (inclus dans leur gestionnaire de mots de passe) sont de bonnes options multi-comptes.

Les points de vigilance

Les SMS comme second facteur — acceptables mais pas idéaux

Le MFA par SMS est mieux que pas de MFA du tout. Mais les SMS peuvent être interceptés (attaque SIM swapping). Pour les comptes les plus critiques, préférez une application d’authentification ou une clé physique.

Préparer les cas de perte de téléphone

Avant de déployer le MFA, prévoyez la procédure en cas de perte ou de changement de téléphone. La plupart des services proposent des codes de récupération à imprimer et stocker en lieu sûr. Documentez la procédure de réinitialisation pour votre organisation.

Former les utilisateurs avant le déploiement

Un déploiement MFA sans communication préalable crée de la confusion et du rejet. Prenez 15 minutes pour expliquer à vos collaborateurs ce qui va changer, pourquoi c’est important, et comment ça va fonctionner. La résistance au changement est toujours plus faible quand on comprend l’enjeu.

Coût : que payer réellement ?

Dans la majorité des cas, le MFA ne coûte rien ou presque :

  • Microsoft 365 / Google Workspace : inclus dans votre abonnement actuel
  • Applications d’authentification (Microsoft Authenticator, Google Authenticator, Authy) : gratuites
  • Bitwarden (gestionnaire de mots de passe + MFA) : gratuit en usage personnel, environ 3€/mois/utilisateur en version professionnelle

Si vous souhaitez des clés physiques YubiKey pour les comptes les plus critiques (direction, accès administrateur) : environ 50-70€ par clé.

Coût total pour une TPE de 10 personnes : 0€ à quelques dizaines d’euros pour des clés physiques optionnelles.

Vous avez besoin d’aide pour déployer le MFA dans votre organisation ou vous souhaitez faire le point sur votre sécurité globale ? Contactez-moi pour un premier échange gratuit.

Sources : Microsoft, “One simple action you can take to prevent 99.9 percent of account attacks” ; ANSSI, guide des mots de passe et de l’authentification ; CNIL, recommandations sur l’authentification.