Authentification 7 min de lecture

MFA et authentification double facteur : guide complet pour les PME

Selon Microsoft, l'activation du MFA bloque 99,9 % des attaques automatisées sur les comptes. Pourtant, moins de 30 % des entreprises françaises l'ont déployé sur l'ensemble de leurs accès critiques. Voici ce que vous devez savoir pour passer à l'action.

Pourquoi le mot de passe seul ne suffit plus

Des milliards d'identifiants ont été compromis dans des fuites de données ces dernières années. Ces données circulent librement sur des forums spécialisés. Des outils automatisés testent ces couples email/mot de passe contre des milliers de services en quelques heures — c'est le credential stuffing.

Même un mot de passe fort et unique peut être compromis via du phishing. Un employé qui clique sur un lien malveillant et saisit ses identifiants sur une fausse page de connexion transmet son mot de passe directement à l'attaquant. Avec le MFA, ce credential volé est inutilisable seul.

OK
Le MFA est la mesure la plus efficace par rapport à son coût
Il existe des solutions MFA gratuites (Google Authenticator, Aegis) qui s'activent en quelques minutes sur la majorité des services cloud. Le rapport protection/effort est inégalé.

Les différents types de MFA

Le MFA repose sur la combinaison d'au moins deux facteurs parmi trois catégories : ce que vous savez (mot de passe, PIN), ce que vous avez (téléphone, clé physique), ce que vous êtes (empreinte digitale, visage).

Type de MFA Niveau de sécurité Résistant au phishing Facilité de déploiement
SMS (OTP par SMS) FAIBLE NON FACILE
Email OTP FAIBLE NON FACILE
TOTP (Google Authenticator…) MOYEN NON FACILE
Push notification (Duo, Okta) BON PARTIEL FACILE
FIDO2 / Passkeys TRÈS ÉLEVÉ OUI MODÉRÉ

SMS : le MFA le plus risqué

Bien que meilleur qu'aucun MFA, l'OTP par SMS est vulnérable à plusieurs attaques : SIM swapping (l'attaquant convainc l'opérateur de transférer votre numéro sur sa carte SIM), SS7 interception (exploitation de failles du protocole téléphonique pour intercepter les SMS), et phishing en temps réel (la fausse page de connexion relaie immédiatement le code SMS vers le vrai service).

Si vous utilisez déjà le MFA par SMS, c'est un progrès. Mais planifiez la migration vers TOTP ou FIDO2 pour vos accès les plus critiques.

TOTP : applications d'authentification

Le TOTP (Time-based One-Time Password) génère un code à 6 chiffres qui change toutes les 30 secondes, calculé à partir d'un secret partagé et de l'heure courante. Ces codes sont générés localement sur votre téléphone — aucune connexion réseau nécessaire.

INFO
Applications TOTP recommandées
Aegis (Android, open source, sauvegarde chiffrée) · Raivo OTP (iOS, open source) · Google Authenticator (synchronisation Google Account depuis 2023) · Bitwarden Authenticator (intégré au gestionnaire de mots de passe).

Sauvegarder les secrets TOTP

Lors de l'activation du TOTP sur un service, vous recevez des codes de récupération à usage unique et parfois un QR code. Conservez ces codes dans un coffre-fort numérique ou un endroit physiquement sécurisé. La perte du téléphone sans sauvegarde des secrets = verrouillage définitif de vos comptes.

Passkeys et clés FIDO2 : le futur

Les passkeys sont des identifiants cryptographiques stockés sur votre appareil (téléphone, ordinateur) ou une clé de sécurité physique (YubiKey, Google Titan). Lors de la connexion, votre appareil prouve cryptographiquement votre identité sans jamais envoyer de secret sur le réseau.

Les passkeys sont physiquement impossibles à phisher : ils sont liés au domaine pour lequel ils ont été créés. Une fausse page de connexion ne peut pas déclencher l'authentification passkey d'un autre domaine. 

Services majeurs supportant les Passkeys en 2026
 Google, Apple, Microsoft
 GitHub, GitLab
 1Password, Bitwarden
 Cloudflare, AWS
 La plupart des banques majeures

Par où commencer le déploiement

Déployer le MFA sur l'ensemble de l'entreprise en une journée est irréaliste et contre-productif. Une approche progressive par criticité garantit l'adhésion des équipes. 

Déploiement MFA par priorité

Semaine 1 — Comptes administrateurs
→ Accès IT, hébergement, DNS, Azure/AWS/GCP, domaines

Semaine 2 — Email d'entreprise
→ Microsoft 365 / Google Workspace pour tous les employés

Semaine 3 — Accès distants
→ VPN, RDP, SSH, outils de support à distance

Mois 2 — Applications métier
→ CRM, ERP, comptabilité, outils de collaboration

Accès critiques à prioriser absolument

Si vous ne pouvez pas déployer le MFA partout immédiatement, commencez par ces accès — leur compromission peut entraîner la prise de contrôle totale de votre entreprise.

WARN
Ces accès sans MFA sont une porte ouverte
Compte de registrar de domaine (permet de rediriger votre site et vos emails) · Hébergeur / cloud (accès à toute l'infrastructure) · Email administrateur (permet la réinitialisation de tous les autres comptes) · VPN ou accès RDP (point d'entrée ransomware).

Identifiez vos vulnérabilités d'accès

Wezea détecte les ports d'accès distant exposés (RDP, SSH) et les configurations susceptibles de contourner votre MFA.

Scanner mon domaine →

Gratuit · 60 secondes · Résultat immédiat

Lire aussi

Ransomware et PME : comment se protéger efficacement Ports réseau dangereux : lesquels fermer en priorité Usurpation de domaine par email : comment s'en protéger
Authentication 7-min read

MFA and two-factor authentication: complete guide for SMBs

According to Microsoft, enabling MFA blocks 99.9% of automated account attacks. Yet fewer than 30% of French companies have deployed it across all critical access. Here's what you need to know to take action.

Why password alone is no longer enough

Billions of credentials have been compromised in data breaches in recent years. This data freely circulates on specialized forums. Automated tools test these email/password pairs against thousands of services within hours — this is credential stuffing.

Even a strong, unique password can be compromised via phishing. An employee who clicks a malicious link and enters credentials on a fake login page directly hands over their password to the attacker. With MFA, that stolen credential alone is useless.

OK
MFA is the most effective measure relative to its cost
There are free MFA solutions (Google Authenticator, Aegis) that activate in minutes on most cloud services. The protection-to-effort ratio is unmatched.

Different types of MFA

MFA relies on combining at least two factors from three categories: what you know (password, PIN), what you have (phone, physical key), what you are (fingerprint, face).

MFA type Security level Phishing resistant Deployment ease
SMS (OTP via SMS) WEAK NO EASY
Email OTP WEAK NO EASY
TOTP (Google Authenticator…) MODERATE NO EASY
Push notification (Duo, Okta) GOOD PARTIAL EASY
FIDO2 / Passkeys VERY HIGH YES MODERATE

SMS: the riskiest MFA

While better than no MFA, SMS OTP is vulnerable to multiple attacks: SIM swapping (attacker convinces carrier to transfer your number to their SIM), SS7 interception (exploiting phone protocol flaws to intercept SMS), and real-time phishing (the fake login page immediately relays the SMS code to the real service).

If you're already using SMS MFA, that's progress. But plan migration to TOTP or FIDO2 for your most critical access.

TOTP: authentication apps

TOTP (Time-based One-Time Password) generates a 6-digit code that changes every 30 seconds, calculated from a shared secret and current time. These codes are generated locally on your phone — no network connection needed.

INFO
Recommended TOTP applications
Aegis (Android, open source, encrypted backup) · Raivo OTP (iOS, open source) · Google Authenticator (Google Account sync since 2023) · Bitwarden Authenticator (integrated with password manager).

Backup TOTP secrets

When enabling TOTP on a service, you receive one-time recovery codes and sometimes a QR code. Keep these codes in a digital vault or physically secure location. Losing your phone without backing up secrets = permanent account lockout.

Passkeys and FIDO2 keys: the future

Passkeys are cryptographic credentials stored on your device (phone, computer) or physical security key (YubiKey, Google Titan). When signing in, your device cryptographically proves your identity without ever sending a secret over the network.

Passkeys are physically impossible to phish: they're tied to the domain they were created for. A fake login page cannot trigger a passkey authentication for a different domain. 

Major services supporting Passkeys in 2026
 Google, Apple, Microsoft
 GitHub, GitLab
 1Password, Bitwarden
 Cloudflare, AWS
 Most major banks

Where to start deployment

Deploying MFA company-wide in a day is unrealistic and counterproductive. A progressive approach by criticality ensures team adoption. 

MFA deployment by priority

Week 1 — Admin accounts
→ IT access, hosting, DNS, Azure/AWS/GCP, domains

Week 2 — Company email
→ Microsoft 365 / Google Workspace for all employees

Week 3 — Remote access
→ VPN, RDP, SSH, remote support tools

Month 2 — Business applications
→ CRM, ERP, accounting, collaboration tools

Critical access to prioritize

If you can't deploy MFA everywhere immediately, start with these — their compromise can lead to total takeover of your company.

WARN
These MFA-less accesses are wide open
Domain registrar account (lets you redirect your site and email) · Hosting / cloud (access to entire infrastructure) · Admin email (allows resetting all other accounts) · VPN or RDP access (ransomware entry point).

Identify your access vulnerabilities

Wezea detects exposed remote access ports (RDP, SSH) and configurations that could bypass your MFA.

Scan my domain →

Free · 60 seconds · Instant results

Read also

Ransomware and SMBs: how to protect yourself effectively Dangerous network ports: which ones to close first Domain spoofing by email: how to protect yourself

Vous gérez les domaines de vos clients ? Wezea propose des rapports PDF en marque blanche et un monitoring multi-domaines pour les agences web et MSP.

Découvrir Wezea Agences →

Managing your clients's domains? Wezea offers white-label PDF reports and multi-domain monitoring for web agencies and MSPs.

Discover Wezea for Agencies →