Se rendre au contenu

L’authentification multifacteur (MFA)

Un pilier de sécurité pour les PME  face au RGPD
19 mai 2025 par
L’authentification multifacteur (MFA)
Olivier DUPRE

Qu’est-ce que l’authentification multifacteur ?

L’authentification multifacteur (MFA) est une méthode de vérification de l’identité d’un utilisateur à l’aide de plusieurs facteurs indépendants. Plutôt que de s’appuyer sur un simple mot de passe, la MFA combine au moins deux des trois types de facteurs d’authentification :

Facteur de connaissance

quelque chose que l’on sait (un mot de passe, un code PIN, une phrase secrète)

Facteur de possession :

quelque chose que l’on possède (un smartphone pour recevoir un code, un token physique, une carte à puce, un badge)

Facteur d’inhérence :

quelque chose que l’on est (données biométriques comme une empreinte digitale, la reconnaissance faciale ou vocale)


En exigeant par exemple un mot de passe et un code envoyé sur son téléphone, la MFA réduit drastiquement la probabilité qu’un attaquant puisse usurper une identité. Même si le mot de passe est compromis, il lui manquera le second facteur pour accéder aux systèmes. On parle souvent d’authentification à deux facteurs (2FA) lorsque deux éléments sont utilisés – la 2FA étant un cas particulier de MFA. L’objectif est de renforcer la sécurité des comptes en ajoutant des barrières supplémentaires, sans pour autant compliquer excessivement la vie de l’utilisateur.

Un impératif de sécurité pour protéger vos systèmes d’information

Aujourd’hui, adopter la MFA n’est plus une option, c’est un impératif de sécurité. La grande majorité des intrusions proviennent de vols de mots de passe ou d’attaques par phishing visant les identifiants. Une protection par mot de passe seul s’avère insuffisante face à des cyberattaques toujours plus sophistiquées. Des études montrent que la MFA peut bloquer 99,9 % des attaques automatisées – y compris les attaques par force brute ou par robots – ce qui rend quasiment impossible une compromission même si un mot de passe a fuité​. En d’autres termes, un compte protégé par MFA a 99 fois moins de chances d’être piraté qu’un compte classique.

Ce n’est pas un hasard si les autorités en cybersécurité et les experts recommandent systématiquement la MFA. Par exemple, un rapport récent de l’ANSSI sur la sécurité du cloud souligne qu’un mot de passe seul ne suffit plus pour accéder aux consoles d’administration sensibles – la MFA doit être déployée sur tous les comptes, en particulier ceux à privilèges élevés. En activant la MFA sur vos accès critiques (messagerie, VPN, applications SaaS industrielles, etc.), vous ajoutez une couche de défense essentielle pour vos systèmes d’information.

MFA et conformité RGPD : pourquoi est-ce indispensable ?

Au-delà de la protection technique, la MFA s’inscrit dans une démarche globale de conformité réglementaire. Le RGPD (Règlement Général sur la Protection des Données) impose aux entreprises de sécuriser les données personnelles qu’elles traitent. Concrètement, cela signifie mettre en place des mesures de protection robustes pour prévenir les accès non autorisés aux informations sensibles.

L’authentification multifacteur est désormais considérée comme une bonne pratique incontournable pour remplir l’obligation de sécurité (articles 5 et 32 du RGPD). Si une violation de données se produit parce qu’un compte administrateur n’était protégé que par un mot de passe faible, l’entreprise pourrait être jugée négligente vis-à-vis de la sécurité. À l’inverse, la mise en place d’une MFA pour les accès aux données à caractère personnel démontre une volonté de protéger ces données de manière appropriée. En cas d’audit ou d’incident, pouvoir montrer que les comptes sensibles nécessitent deux facteurs d’authentification est un atout pour prouver sa conformité aux exigences du RGPD en matière de intégrité et confidentialité des données.

Par ailleurs, la CNIL – le régulateur français de la protection des données – encourage fortement l’usage de la MFA. En mars 2025, elle a publié une recommandation spécifique sur l’authentification multifacteur, soulignant qu’une telle mesure de sécurité doit être envisagée “dès lors que des données personnelles sensibles ou des accès critiques sont en jeu”. Autrement dit, la MFA devient un passage obligé pour toutes les PME qui manipulent des informations personnelles ou confidentielles, tant pour se conformer aux attentes réglementaires que pour renforcer concrètement la sécurité de leur SI.

Données personnelles, base légale et article 6 du RGPD

Mettre en place une MFA implique de traiter certaines données personnelles (par exemple, le numéro de téléphone ou l’adresse email pour envoyer un code, des données biométriques si on utilise l’empreinte digitale, etc.). Il faut donc le faire en respectant le cadre légal du RGPD. En particulier, il convient de déterminer sur quelle base juridique (article 6 du RGPD) repose ce traitement d’authentification. Plusieurs options existent :

  • Obligation légale (article 6.1.c) : dans certains cas, une loi ou un règlement peut imposer l’utilisation de la MFA (par exemple, pour des données de santé ou dans des secteurs régulés). Toutefois, à ce jour, peu de textes imposent explicitement la MFA de façon générale. Le RGPD lui-même (articles 5.1.f et 32) n’impose pas nommément la MFA, il se contente d’exiger des mesures de sécurité appropriées​
    file-cnq2p7bhbbpaxnlkmyolat. Il faut donc généralement se tourner vers une autre base légale.
  • Intérêt légitime de l’entreprise (article 6.1.f) : c’est souvent la base la plus pertinente dans un contexte professionnel. La MFA vise à protéger les systèmes d’information et les données de l’entreprise, ce qui constitue un intérêt légitime tout à fait recevable. Cette base légale nécessite de réaliser un équilibre entre l’intérêt de l’entreprise en matière de sécurité et le respect des droits et libertés des utilisateurs. La CNIL précise que l’intérêt légitime est la base juridique “la plus commune pour mener des opérations de sécurité informatique” impliquant des données personnelles​
    file-cnq2p7bhbbpaxnlkmyolat. Il faudra documenter cet intérêt légitime (par exemple dans une analyse d’impact si nécessaire) et informer les utilisateurs de ce traitement.
  • Consentement (article 6.1.a) : demander le consentement explicite de l’utilisateur pour activer la MFA est envisageable, par exemple pour des services en ligne grand public. Cependant, ce n’est pas la base recommandée en milieu professionnel, car le consentement d’un employé n’est pas vraiment “libre” (l’employeur ayant un lien d’autorité). De plus, en cas de consentement, il faut offrir une alternative si la personne refuse, ce qui complexifie la gestion. Le consentement n’est donc généralement pas retenu pour la MFA dans une PME (sauf cas particulier, par exemple pour un client final sur une plateforme en ligne).

Pour une PME, la base légale typique pour déployer la MFA auprès des collaborateurs sera l’intérêt légitime, appuyé par la nécessité de protéger les systèmes (article 32 RGPD). Il est tout de même recommandé de mettre à jour votre registre de traitement RGPD pour inclure ce mécanisme d’authentification (soit dans la fiche du traitement concerné, soit dans une fiche dédiée à l’authentification transversale).

Facteur biométrique et données sensibles (article 9 du RGPD)

Un point d’attention particulier concerne l’usage de facteurs biométriques (facteur d’inhérence) dans la MFA. En effet, les données biométriques (empreinte, visage, iris, etc.) sont considérées par le RGPD comme des données sensibles dès lors qu’elles sont utilisées pour identifier une personne de manière unique. L’article 9 du RGPD interdit en principe le traitement de ces données particulières, sauf exceptions spécifiques.

Concrètement, cela signifie que si vous souhaitez utiliser, par exemple, l’empreinte digitale de vos employés pour l’authentification, vous devez disposer d’une exception légale pour le faire. La principale exception applicable est le consentement explicite de la personne (article 9.2.a). La CNIL estime que le recours à la biométrie pour l’authentification n’est possible que sur la base d’un consentement “libre, spécifique, éclairé et univoque” de l’utilisateur, sauf si une loi autorise spécifiquement cette utilisation​. Par exemple, en France, un règlement type de la CNIL encadre l’usage des empreintes digitales pour le contrôle d’accès aux lieux de travail, ce qui peut servir de fondement légal dans un contexte très précis (contrôle d’accès physique aux locaux, avec des garanties strictes). En dehors de tels cas, il est risqué d’imposer la biométrie à vos employés sans consentement, car cela pourrait être jugé non conforme.

En pratique, pour éviter ces écueils juridiques, de nombreuses PME choisissent de ne pas utiliser de biométrie dans leur MFA, et privilégient des facteurs “connaissance + possession” moins intrusifs (par exemple mot de passe + code sur mobile ou application d’authentification). Si la biométrie est utilisée, ce sera plutôt pour des usages facultatifs (par exemple laisser un utilisateur déverrouiller son smartphone par empreinte pour ouvrir l’appli d’authentification MFA, ce qui reste du ressort de l’utilisateur final et non de l’entreprise). Dans tous les cas, réfléchissez bien au besoin réel avant de collecter des données biométriques, et assurez-vous d’être en conformité avec l’article 9 du RGPD si vous le faites.

Limiter l’intrusivité : minimisation des données et respect des utilisateurs

Le principe de minimisation des données du RGPD (article 5) s’applique pleinement à l’authentification multifacteur. Cela signifie qu’il faut collecter et traiter le minimum d’informations nécessaire pour atteindre l’objectif de sécurité, et pas davantage. Quelques bonnes pratiques pour limiter l’intrusivité de la MFA :

Réduire les données collectées

Ne demandez que les données strictement utiles à l’authentification. Par exemple, si une adresse email suffit pour envoyer un code de vérification, ne demandez pas en plus un numéro de téléphone (ou vice-versa). De même, n’enregistrez pas plus de données qu’il n’en faut : si une empreinte digitale est utilisée, stockez-la sous forme de gabarit chiffré, pas l’image brute de l’empreinte..

Ne pas détourner la MFA de son usage

Les informations recueillies pour la MFA (comme le numéro de téléphone ou l’adresse email secondaire) ne doivent pas être exploitées à d’autres fins (marketing, surveillance injustifiée, etc.) sans base légale séparée. Par exemple, si un employé communique son numéro de mobile pour recevoir des SMS de connexion, l’entreprise ne doit pas utiliser ce numéro pour lui envoyer des messages commerciaux non sollicités.

Éviter les facteurs trop intrusifs par défaut :

Le facteur “possession” via un smartphone professionnel ou un token physique est généralement moins intrusif qu’un facteur biométrique qui touche à l’intégrité de la personne. Si un facteur d’inhérence n’apporte pas un gain de sécurité indispensable, privilégiez les méthodes classiques (code, application mobile) plus respectueuses de la vie privée.

Informer clairement et proposer des alternatives

Expliquez aux utilisateurs (employés, partenaires) pourquoi la MFA est mise en place et quelles données sont utilisées. Si certains employés n’ont pas de smartphone ou refusent d’utiliser leur téléphone personnel pour le travail, prévoyez une alternative comme un token physique ou une application sur leur poste de travail. Ainsi, vous évitez le sentiment d’intrusion dans la vie privée et vous augmentez l’adhésion au dispositif.


En appliquant ces précautions, la MFA sera perçue non pas comme une contrainte excessive, mais comme un garde-fou équilibré, intégré de manière fluide au quotidien des utilisateurs. Il s’agit de sécurité “privacy by design” : on protège les comptes, tout en respectant les personnes.

Exemples concrets de mise en œuvre de la MFA en entreprise

Pour illustrer, voici quelques cas d’usage professionnels où la MFA apporte une réelle valeur ajoutée en termes de sécurité et de conformité :

  • Accès à distance aux systèmes de l’entreprise : Pour le télétravail ou les interventions externes, la MFA est essentielle. Par exemple, l’accès au VPN de l’usine ou à un bureau distant devrait exiger un code à usage unique en plus du mot de passe. De même, la consultation des emails professionnels ou du stockage cloud depuis l’extérieur de l’entreprise gagne à être protégée par MFA. Cela évite qu’un simple vol de mot de passe permette à un attaquant de pénétrer le SI à distance.
  • Consultation de données sensibles : Les applications manipulant des données critiques (données personnelles de clients, plans de R&D, secrets de fabrication, données financières…) doivent être placées sous MFA, surtout si elles sont accessibles via internet. Par exemple, un CRM ou un ERP industriel contenant des informations stratégiques ne devrait plus être accessible avec un simple couple identifiant/mot de passe. On peut intégrer la MFA via l’outil SSO (Single Sign-On) de l’entreprise ou via chaque application métier, en configurant un second facteur à la connexion.
  • Comptes administrateur et accès privilégiés : Les comptes admin (serveurs, Active Directory, outils de supervision industrielle, etc.) représentent la clé du royaume pour un pirate s’il les compromet. Il est impératif de les protéger par MFA. Par exemple, un administrateur système qui se connecte sur un serveur de production devra confirmer la connexion via son téléphone ou un token physique. Ainsi, même si ses identifiants sont volés, l’attaquant ne pourra pas les exploiter. Dans certaines PME, cela peut s’étendre aux prestataires externes : si un fournisseur a un accès VPN ou à une machine chez vous pour de la maintenance, assurez-vous que son compte soit lui aussi soumis à MFA.
  • Outils métiers en mode SaaS : De plus en plus d’outils industriels ou de gestion (supervision de chaînes de production, GED, plateformes IoT, etc.) sont accessibles en ligne. Vérifiez si ces services proposent une option MFA et activez-la systématiquement. Par exemple, si vous utilisez Office 365, Google Workspace, ou tout autre service cloud pour votre PME, activer la MFA sur les comptes utilisateur est un moyen simple et efficace de bloquer la majorité des tentatives d’usurpation. De même, pour les plateformes spécialisées (pilotage d’entrepôt, maintenance prédictive…), la MFA renforce la confiance que seules les bonnes personnes accèdent aux interfaces.

En résumé, toute situation d’accès à un SI à distance ou à des données sensibles devrait être couverte par une authentification multifacteur. C’est un élément clé d’une stratégie de “zéro confiance” (Zero Trust) où chaque connexion est vérifiée rigoureusement. Pour les dirigeants de PME industrielles, cela se traduit par une diminution drastique du risque de voir un jour leurs données stratégiques exposées suite à un vol de credentials.

Les pièges d’une MFA mal déployée

Si la MFA est un formidable outil, encore faut-il l’implémenter correctement pour éviter de nouveaux problèmes. Voici les principaux pièges à éviter lors du déploiement :

  • La lassitude de l’utilisateur (MFA fatigue) : Il s’agit d’un phénomène où l’utilisateur est submergé de demandes d’authentification, au point de devenir moins vigilant. Des attaquants exploitent cela via des attaques dites de « MFA bombing » : ils essaient de se connecter en boucle, ce qui envoie sans cesse des notifications de confirmation sur le téléphone de la victime, jusqu’à ce que celle-ci, agacée ou inattentive, finisse par en accepter une. La CNIL nomme cette attaque « lassitude liée à la MFA », aussi connue sous le nom de MFA. Pour contrer ce risque, choisissez des méthodes MFA qui limitent le spam de notifications et informez vos équipes. Par exemple, les applications de MFA modernes affichent des informations de contexte (lieu de la tentative, appareil utilisé) lors d’une demande de connexion, afin que l’utilisateur puisse repérer une requête frauduleuse. Vous pouvez aussi configurer un plafonnement du nombre de demandes par minute, ou utiliser des mécanismes de confirmation plus robustes (comme la validation via un code à recopier plutôt qu’un simple bouton “Accepter”). L’idée est de ne pas sur-solliciter l’utilisateur et de rendre chaque demande de second facteur clairement identifiable.
  • Le faux sentiment de sécurité : Installer une MFA ne signifie pas que vous êtes invulnérable. Une erreur courante serait de relâcher les autres mesures sous prétexte que “c’est bon, on a la double authentification”. Or, une MFA mal configurée ou incomplète peut laisser des failles. Par exemple, si vous activez la MFA mais que certains utilisateurs contournent le système (comptes de service sans MFA, ou exceptions temporaires qui perdurent), le niveau de sécurité global est affaibli. De même, toutes les méthodes MFA ne se valent pas : une authentification par SMS est mieux que rien, mais elle peut être vulnérable (attaque par échange de carte SIM, interception SMS). Idem, si le second facteur est un email et que la messagerie de l’utilisateur est déjà compromise, ça n’ajoute pas de sécurité réelle. Ne considérez pas la MFA comme une panacée : elle doit s’inscrire dans une stratégie globale de cybersécurité (mots de passe solides ou passephrases, mises à jour régulières, sauvegardes, sensibilisation au phishing, etc.).
  • Une expérience utilisateur bâclée : Le déploiement de la MFA doit tenir compte de l’ergonomie et du quotidien de vos équipes. Si vous imposez un procédé trop complexe ou contraignant, vous risquez un rejet en interne, voire la mise en place de contournements (post-it avec les codes de secours sur l’écran, partage de sessions, etc.). Pour éviter cela, accompagnez le changement : fournissez une documentation claire, expliquez comment installer l’application d’authentification, entraînez les utilisateurs avec quelques essais. Il peut être judicieux d’activer progressivement la MFA, d’abord sur les applications critiques et auprès des administrateurs, puis d’élargir à tous les collaborateurs une fois que les procédures sont rodées. Prévoyez des solutions de secours : par exemple, remettre à chaque utilisateur des codes de récupération imprimés à conserver en lieu sûr, ou définir une procédure d’urgence (avec vérification d’identité) en cas de perte du second facteur. Ainsi, personne ne restera bloqué à cause de la MFA et elle sera mieux acceptée.

En évitant ces écueils, vous maximisez les bénéfices de la MFA sans en subir les contreparties. L’objectif est que la MFA renforce réellement la sécurité sans devenir une source de frustration. Une MFA bien pensée se fait presque oublier au quotidien, tout en étant présente en cas de tentative d’intrusion.

Un levier de performance et de confiance pour l’entreprise

Au-delà de la technique et de la conformité, l’authentification multifacteur doit être perçue comme un investissement stratégique pour votre PME. En renforçant la sécurité, vous préservez la performance de l’entreprise : un incident majeur (ex. ransomware, vol de données) peut paralyser une usine ou une chaîne logistique pendant des jours, avec des coûts énormes. La MFA contribue à éviter ces catastrophes en rendant la tâche des hackers bien plus ardue. C’est un peu comme une assurance : on en voit la valeur le jour où le risque survient (tentative d’intrusion déjouée).

Ensuite, il y a l’enjeu de la confiance. A l’ère du numérique, clients et partenaires accordent de plus en plus d’importance à la protection de leurs données. Une entreprise qui sécurise rigoureusement ses accès envoie un signal fort : elle prend au sérieux la confidentialité des informations. À l’inverse, une fuite de données cause un préjudice d’image majeur. Les partenaires et clients « perdent confiance s’ils apprennent qu’une entreprise a mal protégé ses informations », et une telle violation « nuit durablement à la réputation et à la crédibilité » de la société​. En adoptant la MFA et plus largement des bonnes pratiques de cybersécurité, vous renforcez votre image de marque. Vous montrez que vous êtes un acteur fiable, proactif dans la gestion des risques. Cela peut faire la différence pour remporter un contrat face à un concurrent moins vigilant, ou pour rassurer un grand donneur d’ordre qui s’inquiète de la sécurité de sa chaîne d’approvisionnement.

Enfin, la MFA peut devenir un facilitateur de performance. En sécurisant les accès, elle permet d’ouvrir plus largement le système d’information sans sacrifier la protection : par exemple, autoriser le télétravail, donner des accès aux outils métiers depuis n’importe où, connecter des objets industriels à des plateformes cloud… Toutes ces évolutions, bénéfiques pour la productivité et l’innovation, seraient trop risquées sans une authentification forte. La MFA, couplée éventuellement à d’autres mesures (chiffrement, surveillance), vous donne la confiance nécessaire pour innover. C’est donc un levier d’agilité : l’entreprise peut avancer sur sa transformation numérique (industrie 4.0, IoT, IA, etc.) tout en gardant la maîtrise de la sécurité.

Pour conclure : MFA, sécurité et conformité main dans la main

L’authentification multifacteur s’impose comme un élément clé pour quiconque gère un système d’information moderne. Pour les dirigeants de PME et les responsables SI du secteur industriel, c’est à la fois un gage de sécurité informatique, un outil de conformité au RGPD, et un investissement sur la confiance accordée par vos clients et partenaires. Certes, sa mise en place demande une certaine préparation (choix de la solution, accompagnement des utilisateurs, ajustements techniques), mais les bénéfices l’emportent largement sur les coûts initiaux.

En 2025, la CNIL comme les experts cybersécurité considèrent la MFA non plus comme un luxe, mais comme un socle de base pour une protection efficace. Pour reprendre les mots de la CNIL :

« L’authentification multifacteur a pour objectif d’atténuer le risque de compromission des ressources informatiques, et a fortiori d’accès illégitime ou modification non désirée des données personnelles qui y sont traitées, en demandant à l’utilisateur davantage qu’un simple mot de passe. »Recommandation de la CNIL sur l’authentification multifacteur (mars 2025)– (lien vers la publication)

En d’autres termes, la MFA matérialise le vieil adage « mieux vaut prévenir que guérir » : en renforçant dès aujourd’hui vos mécanismes d’authentification, vous prévenez les risques de demain, tout en restant en règle vis-à-vis de la loi. C’est un cap à franchir pour la pérennité et la sérénité de votre entreprise – et il n’a jamais été aussi recommandé de le faire.

Lire suivant
Rapport ANSSI : les clés pour protéger votre cloud en 2025