Se rendre au contenu

L’authentification multifacteur pour entreprises: concrète, 99% efficace, sans casse-tête

TL;DR

  • Activer la MFA coupe la vaste majorité des compromissions de comptes. On parle de plus de 99 % de comptes compromis qui n’avaient pas de MFA.
  • Éviter les textos pour l’authentification lorsque possibles. TOTP et passkeys/FIDO2 sont plus solides.
  • Admins et accès critiques: exiger des clés FIDO2/passkeys.
  • Aller vers de la MFA adaptative et désactiver les vieux protocoles d’authentification (IMAP/POP/SMTP Basic) qui court-circuitent la MFA.
  • Prévoir le plan de récupération: codes de secours, 2e appareil, procédure claire si quelqu’un perd son appareil.


Une solution incontournable

Les attaques d’hameçonnage et d’ingénierie sociale frappent fort (vous avez remarqué?!), surtout les équipes TI débordées et les OSBL avec peu de ressources. La MFA ajoute une barrière qui arrête la grande majorité des attaques. Au Canada, les autorités recommandent clairement d’activer la MFA, en priorité sur les comptes à fort impact (messagerie, finances, infonuagique, M365/Workspace, VPN).

À retenir pour le Québec: même si la Loi 25 ne dicte pas un type d’authentification précis, mettre en place une MFA proportionnée au risque aide à respecter vos obligations de sécurité et à rassurer vos partenaires, bailleurs de fonds et membres.


Les options MFA en bref

Voici le bon – mieux – idéal que Blue Fox recommande pour la plupart des PME/OSBL:

  • Bon: TOTP via application (Microsoft/Google Authenticator, Aegis, etc.). Fonctionne hors ligne, peu coûteux, simple à déployer.
  • Mieux: Push + protections (number matching, contexte d’emplacement/appareil). Plus fluide, mais attention à la fatigue MFA.
  • Idéal: FIDO2 / passkeys (clés physiques ou passkeys intégrées au téléphone/ordi). Résiste au phishing, empêche les attaques par relais et les faux sites.

Le texto (SMS) reste mieux que rien… mais vulnérable au SIM swapping. Utilisez-le seulement en mode transitoire ou comme méthode de secours (et même là...).

Recette de déploiement express pour PME/OSBL

Semaine 0 à 2 – Préparation

  • Cartographier les accès: M365/Workspace, banque, CRM, paie, fournisseurs (hébergeur, site web), VPN.
  • Évaluer et classer par facteur de risque: admins, finances, direction, accès distants, bénévoles/contractuels.
  • Choisir la méthode par profil:
    • Admins, finances, accès à données sensibles → FIDO2/passkeys.
    • Employés réguliers → TOTP (ou passkeys si prêt).
  • Prévoir la récupération: 2e appareil ou 2e clé, codes de secours imprimés, procédure de vérification d’identité anti-fraude pour le service technique (pas juste « donne-moi le code par texto »).

Semaine 2 à 3 – Mise en place

  • Former en 30 minutes: pourquoi la MFA, comment installer l’app TOTP, comment enregistrer sa passkey, où récupérer un code si on perd son téléphone.
  • Piloter sur un petit groupe.
  • Corriger la documentation interne, puis étendre par vagues.
  • Désactiver les anciennes portes: bloquer l’authentification héritée (IMAP/POP/SMTP Basic), forcer l’auth moderne.

Semaine 4 et en continu – Ramp-up complet 

  • Monter les exigences: admins et comptes à privilèges en FIDO2 seulement, push avec number matching, interdiction du SMS pour les comptes critiques.
  • Activer l’adaptatif (si disponible): exigences plus fortes quand le contexte est risqué (nouvel endroit, appareil non conforme, comportement suspect).
  • Auditer chaque mois: qui n’a pas de MFA, quelles méthodes sont utilisées, tentatives bloquées, besoin d’ajouter des clés de rechange.

Recettes prêtes à l’emploi par écosystème

Microsoft 365 / Entra ID

  • Rapide et gratuit: activer Security Defaults pour forcer la MFA et bloquer plusieurs vieux protocoles.
  • Mieux (si vous avez P1/P2): politiques Conditional Access pour exiger la MFA selon le risque, bloquer l’auth héritée et exiger FIDO2 pour les admins.
  • Sécuriser le push: activer ou vérifier le number matching et l’affichage du contexte (appli/emplacement).
  • Passkeys/FIDO2: activer l’enregistrement de passkeys (clés physiques ou Authenticator) et documenter le parcours pour les utilisateurs.

Google Workspace

  • Imposer la 2SV par unité d’organisation, puis rendre obligatoire TOTP ou clé de sécurité.
  • Passkeys: autoriser le skip password avec passkeys pour les équipes prêtes au sans mot de passe.
  • Admins: exiger clés de sécurité (physiques dans le meilleur des mondes) pour les super-admins et comptes à privilèges.

Keycloak et autres IdP ouverts

  • Activer WebAuthn/FIDO2 dans le flow d’auth par défaut.
  • Politique: admins et applications sensibles en FIDO2, TOTP pour le reste, SMS seulement en secours.

Politique MFA minimaliste, prête à adopter

  • Portée: tous les comptes cloud, courriels, VPN, outils de paie/finance, CRM, entrepôts de code.
  • Exigences:
    • Admins/finances/accès sensibles: FIDO2/passkeys obligatoires, 2 clés par personne (clé principale + clé de secours), TOTP désactivé.
    • Employés: TOTP par défaut, passkeys encouragées.
    • SMS: seulement en méthode de secours approuvée, jamais pour les admins.
  • Récupération: codes de secours imprimés, 2e appareil, procédure d’identité forte au helpdesk, délai de refroidissement en cas de SIM swap suspect.
  • Exceptions: documentées, temporaires, avec date de fin.

Budget et matériel (de façon réaliste)

  • TOTP: 0 $ par utilisateur (applis gratuites, incluant plusieurs options FOSS).
  • Clés FIDO2: prévoir 2 clés par compte critique. Compter environ 35 $ à 140 $ CAD par clé selon le modèle (USB-A/C, NFC, FIPS, biométrique).
  • Parc mixte: USB-C + NFC marche bien pour portables récents et téléphones.
  • Conseil Blue Fox: commencer par équiper la direction, la finance, les TI et les comptes de service exposés à Internet.

Erreurs fréquentes à éviter

  • Laisser IMAP/POP/SMTP Basic actif. Ce protocole contourne la MFA.
  • Utiliser seulement le push sans number matching, ce qui ouvre la porte à la fatigue MFA.
  • N’avoir qu’une méthode par personne. Il faut un plan de secours, idéalement qui ne dépend pas de la disponibilité 24/7 des TI (votre admin appréciera 🙂‍↕️)
  • Garder le SMS comme méthode principale après le pilote.
  • Oublier de former les gens et de tester la récupération de compte de façon sélective.

Le mot de Blue Fox

Besoin d’un coup de main pour passer du texto au TOTP, déployer des passkeys sans douleur et mettre une politique MFA claire, adaptée à votre équipe et à vos réalités budgétaires? On vous accompagne du plan de déploiement initial jusqu’au suivi mensuel. On peut aussi fournir les clés FIDO2, effectuer une formation répétable (enregistrée à votre équipe) et produire vos gabarits de procédures.

Un peu comme du clé-USB-en-main! ;-)


#CyberSécurité #MFA #FIDO2 #Passkeys #ZeroTrust #Phishing #SécuritéEntreprise #BlueFox

Sources complètes

  1. Efficacité de la MFA (plus de 99 %)
    Microsoft — billet « 2023 identity security trends » qui précise que 99,9 % des comptes compromis n’avaient pas de MFA; billet d’Alex Weinert « Your password doesn’t matter »; étude 2023 co-signée par Microsoft montrant une réduction du risque de 99,22 % et des avantages TOTP vs SMS. MicrosoftTECHCOMMUNITY.MICROSOFT.COMarXiv
  2. Recommandations du gouvernement du Canada pour les PME/OSBL
    Centre canadien pour la cybersécurité — « Baseline cyber security controls for small and medium organizations »; fiche « Secure your accounts and devices with MFA »; portail Get Cyber Safe. Canadian Centre for Cyber Security+3Canadian Centre for Cyber Security+3Canadian Centre for Cyber Security+3Get Cyber Safe
  3. Pourquoi éviter le SMS comme méthode principale
    FBI IC3 — 1 611 plaintes et pertes de plus de 68 M$ en 2021 pour le SIM swap; hausse spectaculaire des fraudes SIM swap au Royaume-Uni en 2024 (Cifas). Internet Crime Complaint CenterCifas
    NIST SP 800-63B — restrictions et signaux de risque pour l’authentification hors bande via PSTN (SMS/voix). NIST PublicationsNIST Pages
  4. Biométrie: utile, mais pas seule
    NIST SP 800-63B — la biométrie seule n’est pas considérée comme un authentificateur; elle doit activer un facteur matériel. NIST Pages
  5. MFA résistante au phishing (FIDO2/WebAuthn, passkeys)
    CISA — « Implementing Phishing-Resistant MFA » et note sur le number matching si le sans-phishing n’est pas encore possible; article « Phishing-Resistant MFA is Key to Peace of Mind ». CISA+2CISA+2
    Spécifications W3C WebAuthn L2/L3 et ressources FIDO/Passkeys. W3C+1FIDO Alliance
    Stratégie fédérale américaine Zéro Trust OMB M-22-09 soulignant la MFA résistante au phishing. The White House
  6. Étude de cas à grande échelle (transposable aux PME/OSBL)
    CISA + USDA — succès du déploiement FIDO pour environ 40 000 personnes dans des cas où les cartes PIV n’étaient pas possibles. CISA+1
  7. Bloquer l’auth héritée qui contourne la MFA
    Microsoft — dépréciation et blocage de la basic auth dans Exchange Online; politique Conditional Access pour bloquer l’auth héritée; Security Defaults. Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3
  8. Recettes d’activation concrètes
    Microsoft Entra — activer passkeys/FIDO2, number matching, contexte dans Authenticator. Microsoft Learn+2Microsoft Learn+2
    Google Workspace — imposer la 2SV, autoriser passkeys et le skip password. Google Help+2Google Help+2
    Keycloak — activer WebAuthn dans le flow d’auth. Keycloak
  9. Repères de coûts pour clés FIDO2 (Canada)
    Exemples publics: YubiKey 5C NFC (fournisseurs canadiens), FEITIAN ePass NFC, SoloKeys. Les prix varient selon USB-A/C, NFC, FIPS, biométrie. YubicoInsight Canadacdw.caftsafe.comshop.ftsafe.usSoloKeys

Projet de loi C-2 (« Loi sur des frontières solides ») : enjeux, controverses et appel à l'action
Une législation incompatible avec la souveraineté canadienne