Aller au contenu
AuditNIS2
Cybersécurité TPE

MFA en PME : déployer l'authentification multifactorielle pour NIS2

Guide pratique pour déployer la MFA dans une PME avant la deadline NIS2 du 17 octobre 2026 : périmètre, outils, méthode, pièges fréquents.

8 min de lecture Par Équipe Audit NIS2
Personne validant une MFA sur son téléphone

L’authentification multifactorielle (MFA) est sans doute le contrôle technique le plus impactant de la mise en conformité NIS2, et probablement aussi le plus rentable du point de vue cybersécurité pure. Elle figure explicitement dans la mesure 10 de l’article 21. Pour une PME, déployer la MFA correctement n’est ni trivial ni hors de portée, à condition d’éviter quelques pièges classiques. Cet article propose une méthode pragmatique pour réussir le déploiement avant la deadline du 17 octobre 2026.

Pourquoi la MFA est si importante

L’écrasante majorité des compromissions de comptes en entreprise commencent par un mot de passe volé : phishing, credential stuffing, fuite via une violation tierce, ou simplement mot de passe faible reréutilisé. Microsoft, Google et tous les grands acteurs cyber estiment que la MFA bloque plus de 99% des attaques par compromission de compte quand elle est correctement déployée.

Pour NIS2, la mesure 10 mentionne explicitement « la sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs » et inclut la MFA comme contrôle attendu. Lors d’un questionnaire fournisseur, la couverture MFA est systématiquement demandée, souvent en pourcentage par catégorie de comptes : utilisateurs, administrateurs, accès distants. Une couverture MFA inférieure à 90% sur les comptes administrateurs est un drapeau rouge immédiat.

Définir le périmètre de déploiement

Avant de choisir un outil, il faut cartographier les accès à protéger. La MFA n’a pas la même pertinence selon les contextes.

Priorité 1 — accès administratifs : tout compte ayant des droits étendus dans un système (administrateurs Microsoft 365, super-admins Google Workspace, comptes admins AWS / Azure / GCP, accès root sur les serveurs, comptes superviseurs sur les CRM/ERP/facturation). Ces comptes doivent avoir une MFA obligatoire et forte (application TOTP type Google Authenticator ou Microsoft Authenticator, idéalement clé physique FIDO2 type YubiKey).

Priorité 2 — accès distants : VPN, RDP, SSH, accès aux portails d’administration cloud, accès aux passerelles d’identité. Tout point d’entrée qui ouvre l’accès depuis l’extérieur doit être protégé. La MFA fait office de barrière contre les attaques par credential stuffing automatisées.

Priorité 3 — applications métier sensibles : CRM, ERP, comptabilité, paie, plateformes de signature électronique, plateformes de versement de salaires, plateformes bancaires. Pour ces applications, la MFA des utilisateurs est essentielle.

Priorité 4 — comptes utilisateurs standards : email, espaces collaboratifs, applications métier non critiques. La MFA reste fortement recommandée mais peut être déployée avec moins d’urgence.

Priorité 5 — comptes de service et automatisations : ces comptes ne peuvent pas utiliser de MFA classique. Pour eux, on bascule sur des clés API rotatives, des certificats, ou des identités managées côté cloud.

Choisir les facteurs d’authentification

NIS2 ne précise pas les méthodes, mais les bonnes pratiques cyber 2026 hiérarchisent clairement.

Très recommandé (forte sécurité) : clés physiques FIDO2 / WebAuthn (YubiKey, Feitian, Google Titan…) pour les accès administratifs et les comptes critiques. Très résistantes au phishing.

Recommandé (bonne sécurité) : applications d’authentification (Microsoft Authenticator, Google Authenticator, Authy, 2FAS) générant des codes TOTP ou utilisant la notification push. Bon compromis sécurité / facilité d’usage.

Acceptable mais à éviter sauf cas particuliers : code reçu par email. Acceptable pour les comptes utilisateurs standards d’applications grand public, mais à éviter pour les comptes administratifs.

Déconseillé : SMS. Vulnérable au SIM swapping, au phishing par interception, et plus globalement non recommandé par les bonnes pratiques actuelles. Acceptable uniquement comme fallback quand l’application principale n’est pas disponible, ou pour des contextes utilisateur grand public.

À refuser : questions de sécurité (« nom de jeune fille de votre mère »), pas de second facteur du tout.

Outils selon votre stack

Le choix de l’outil dépend de votre infrastructure existante.

Microsoft 365 : la MFA est incluse, gérée via Azure AD / Microsoft Entra ID. Activer dans le centre d’administration les politiques d’accès conditionnel : MFA obligatoire pour tous les comptes administrateurs, MFA obligatoire pour les connexions hors réseau de l’entreprise, MFA recommandée pour tous. Le déploiement peut être fait par phases (utilisateurs pilotes, puis extension).

Google Workspace : la 2-Step Verification est gérée dans la console admin. Activer la « Validation en deux étapes » obligatoire pour les unités organisationnelles concernées. Possibilité d’imposer les clés FIDO2 pour les comptes administrateurs.

Plateformes SaaS : la plupart proposent désormais la MFA en natif. Pour les SaaS B2B ne proposant pas la MFA en propre, il existe des intégrations SSO via Okta, OneLogin ou JumpCloud qui ajoutent une couche MFA centralisée.

VPN / accès distants : compatibilité MFA via Radius, intégration Azure AD/Entra ID, ou solutions tiers comme Duo Security, Cisco Secure Access, etc.

Serveurs Linux : SSH peut être configuré avec une MFA via Google Authenticator PAM, Duo Security, ou des solutions de PAM (Privileged Access Management) plus complètes.

Pour une PME de 10-50 personnes, l’ensemble peut généralement être couvert avec les outils déjà en place (Microsoft 365 ou Google Workspace) + quelques clés YubiKey pour les administrateurs. Le coût supplémentaire reste limité (<500 € de matériel).

Méthode de déploiement en 6 étapes

Voici la méthode que nous appliquons chez nos clients.

Étape 1 — Inventaire. Lister tous les systèmes nécessitant une authentification, identifier les comptes administratifs, les accès distants, les applications métier critiques. Tableur simple type Excel ou Notion.

Étape 2 — Politique. Rédiger une politique MFA d’une page : qui doit avoir quoi, quand, avec quel facteur. Faire valider par la direction.

Étape 3 — Pilote. Commencer par les comptes administrateurs et un groupe d’utilisateurs pilotes (1-3 personnes). Documenter les blocages, ajuster les processus.

Étape 4 — Communication. Informer les utilisateurs en avance (emails, intranet, brève session de formation), expliquer pourquoi (incidents évités, conformité NIS2), donner les modes opératoires.

Étape 5 — Déploiement progressif. Activer la MFA sur les groupes d’utilisateurs par lots, en s’assurant qu’un support est disponible pour les premiers jours (assistance pour l’enrôlement, gestion des cas de perte de téléphone).

Étape 6 — Vérification et durcissement. Après quelques semaines, vérifier la couverture effective (rapports d’utilisation), identifier les comptes encore non protégés, traiter les exceptions au cas par cas.

L’effort total représente 2 à 4 semaines pour une PME de 30 personnes, principalement de la communication et de l’accompagnement utilisateurs.

Pièges fréquents

Piège 1 — La couverture incomplète. Beaucoup de PME activent la MFA pour les utilisateurs sans la rendre obligatoire pour les administrateurs, ou inversement. Le pilotage doit suivre la couverture réelle par catégorie de comptes.

Piège 2 — Les comptes oubliés. Les comptes de service automatisés, les comptes shared mailboxes, les comptes externes (partenaires, sous-traitants, anciens employés non purgés). Ces comptes peuvent rester sans MFA et constituent des points d’entrée critiques.

Piège 3 — Les exceptions permanentes. « Le directeur n’arrive pas à utiliser l’app, on lui désactive la MFA ». Catastrophe en cas de phishing ciblant un dirigeant. Il faut soit former, soit fournir une clé physique, mais pas désactiver.

Piège 4 — La gestion des récupérations. Que se passe-t-il quand un utilisateur perd son téléphone ? Les codes de récupération doivent être stockés de manière sécurisée. Le processus de réenrôlement doit être documenté pour ne pas créer une faille.

Piège 5 — La fatigue MFA. Si l’utilisateur reçoit des dizaines de demandes par jour, il finit par valider sans réfléchir. Configurer la MFA pour qu’elle ne se déclenche que sur les contextes à risque (nouvelle géo, nouveau device, action sensible) plutôt qu’à chaque connexion.

Piège 6 — La MFA non opposable au phishing. Les codes par SMS ou par notification push « tap to approve » sont vulnérables au phishing en temps réel (l’attaquant rejoue les credentials et l’utilisateur valide la notification sans vérifier). Pour les comptes critiques, privilégier les clés FIDO2.

Mesurer et documenter

Pour NIS2, la couverture MFA doit être mesurée et documentée. Concrètement :

  • export régulier de la liste des comptes avec MFA active (depuis Azure AD, Google Admin, ou les outils tiers),
  • suivi du pourcentage de couverture par catégorie (utilisateurs, administrateurs, accès distants),
  • inclusion dans le tableau de bord cyber présenté à la direction lors des revues,
  • documentation dans la politique de sécurité (date de déploiement, périmètre, exceptions justifiées).

Lors d’un audit NIS2, l’auditeur demande systématiquement : « Quel est votre taux de couverture MFA par catégorie de comptes ? Comment est-il mesuré ? Quand a-t-il été vérifié pour la dernière fois ? ». Une réponse documentée et chiffrée vaut beaucoup mieux qu’une affirmation « oui on a la MFA ».

ROI sécuritaire

La MFA est sans doute le contrôle technique avec le meilleur ROI sécuritaire. Pour une PME, le coût total se compose de :

  • temps interne de déploiement : 40 à 80 heures,
  • coût des clés physiques pour les administrateurs : 50 € par utilisateur,
  • coût des outils si solution tierce : 0 à 5 € par utilisateur par mois,
  • coût d’opportunité de la friction utilisateur : minimal une fois le déploiement stabilisé.

En contrepartie, la réduction du risque de compromission de compte est de 90 à 99%. Pour une PME, cela représente la prévention d’incidents qui pourraient coûter 50 à 500 k€ chacun (ransomware, fraude au président, exfiltration de données).

Conclusion

La MFA est l’investissement cybersécurité avec le meilleur rapport effort/efficacité, et c’est la première chose qu’un auditeur NIS2 vérifie. Pour une PME, le déploiement sérieux prend 2 à 4 semaines et ne nécessite généralement pas d’outil supplémentaire au-delà de ce qui existe déjà dans la suite Microsoft ou Google. Les pièges classiques (couverture incomplète, exceptions, fatigue MFA, vulnérabilité au phishing) se contournent avec une politique claire et un pilotage régulier.

Pour aller plus loin sur les autres mesures techniques de NIS2 : les 10 mesures de l’article 21 expliquées, notre pré-audit à 299 € qui inclut une cartographie de votre couverture MFA actuelle, et l’audit complet à 1 500 € pour un dossier complet sur les dix mesures.

#mfa#authentification#nis2#cybersécurité tpe#guide

Cet article vous concerne ?

Démarrez par un pré-audit à 299€, livré sous 48h. Vous repartez avec un plan d'action clair.

Démarrer mon pré-audit Faire le quiz NIS2

Prêt à sécuriser votre conformité NIS2 ?

Démarrez par un pré-audit à 299€, livré sous 48h. Sans engagement.

Démarrer mon pré-audit 07 51 13 37 69