MFA en PME : guide pratique pour activer la double authentification partout en 1 semaine

Le MFA (multi-factor authentication, double authentification) bloque 99% des compromissions de comptes selon Microsoft. C'est la mesure de sécurité au meilleur ROI absolu : gratuite, rapide à déployer, immédiatement efficace. Voici comment l'activer partout en 1 semaine en PME.

Jour 1 — Microsoft 365 / Google Workspace

Si vous utilisez M365 :

• Admin Center → Conditional Access (ou Security Defaults pour PME)
• Activer Security Defaults → MFA obligatoire pour tous les utilisateurs
• Forcer l'enrôlement à la prochaine connexion

Si vous utilisez Google Workspace :

• Admin → Sécurité → Validation en deux étapes → Forcer l'application
• Période de grâce 7 jours pour enrôlement utilisateurs

Jour 2 — Choisir la méthode MFA

Par ordre de préférence (du plus sûr au moins sûr) :

• Clé physique FIDO2 (YubiKey 5 — 50 € / poste) : ultime sécurité, anti-phishing, recommandé direction et IT.
• App authentificator (Microsoft Authenticator, Google Authenticator, Authy) : gratuit, rapide. Standard PME.
• Push notification (Microsoft, Duo) : confortable, vulnérable au "MFA fatigue" si mal configuré.
• SMS : à éviter (vulnérable au SIM swap), seulement en dernier recours.

Jour 3 — Procédure d'enrôlement utilisateurs

Préparez un document court (1 page) avec captures :

• Comment télécharger Microsoft Authenticator (iOS/Android)
• Comment scanner le QR code lors de la connexion
• Que faire si on change de téléphone
• Qui contacter en cas de problème

Jour 4 — Gérer les exceptions

Quelques cas particuliers :

• Comptes de service (sauvegarde, monitoring) : utiliser service accounts avec mots de passe longs, pas MFA. Restreindre aux IP source.
• Postes partagés (atelier, accueil) : authentification rapide via clé physique partagée ou compte dédié.
• Personnes peu à l'aise tech : prévoir séance de formation 30 min en groupe.

Jour 5 — Codes de récupération

Chaque utilisateur doit générer ses codes de secours :

• 10 codes à usage unique générés à l'enrôlement
• À imprimer ou stocker dans gestionnaire de mots de passe (1Password, Bitwarden)
• Permet de se reconnecter en cas de perte du téléphone

Jour 6 — Étendre aux SaaS tiers

Liste des SaaS critiques qui doivent aussi avoir MFA :

• GitHub / GitLab (si dev) — MFA + SSH keys
• Slack / Teams admin
• AWS / Azure / GCP (si cloud)
• Banque pro en ligne (déjà obligatoire normalement)
• Outils métiers : compta, paie, CRM, hosting

Jour 7 — Tests et formation rappel

• Vérifier que tous les utilisateurs sont bien enrôlés (Admin Center → reports)
• Test de simulation : tentative de connexion sans MFA → bloquée ?
• Réunion 15 min équipe : rappel des bonnes pratiques (jamais valider un push si pas de connexion en cours)

Coût total

• Logiciel : 0 € (inclus M365 / Google Workspace)
• Clés FIDO2 (optionnel) : 50 € × 5 personnes clés = 250 €
• Temps : 4-8 h IT + 30 min × utilisateurs

Conclusion

Une semaine de travail pour bloquer 99% des compromissions de comptes. Aucune autre mesure cyber n'a un ROI comparable. Si vous n'avez pas encore activé le MFA généralisé en 2026, c'est l'action #1 à faire dès lundi.