Pour l'utilisateur au quotidien.
Si vous perdez votre clé FIDO2, votre token OTP ou votre téléphone avec l'application MFA, prevenez immédiatement le service informatique. Le délai entre la perte et la declaration est la fenêtre durant laquelle un attaquant peut tenter d'utiliser le token. Une revocation prend quelques minutes.
Aucun service ou helpdesk legitime ne vous demandera jamais votre code OTP. Si quelqu'un vous le demande par téléphone, email ou SMS, c'est une tentative de fraude. Le code doit etre saisi uniquement sur la page d'authentification officielle, jamais transmis.
Pour le technicien qui intervient.
Les tokens FIDO2 (YubiKey, Solokey) sont resistants au phishing par construction : le navigateur vérifie l'origine du site avant d'envoyer la cryptographie. Le guide d'hygiene ANSSI mesure 21 et le NIST 800-63B recommandent FIDO2 pour les comptes sensibles. Les codes OTP par SMS ou meme TOTP restent vulnerables au phishing en temps reel.
Un seul token enroke par compte est un point unique de defaillance : panne, perte, batterie morte. Enroler systematiquement deux tokens FIDO2 par compte critique (admin, DPO, RSSI). Stocker le second token dans un coffre. Les codes de secours imprimes en complement doivent etre stockes hors ligne et regenérés apres tout incident.
Certains tokens materiels (OTP affichage LCD) ont une batterie non remplaçable d'une durée de 5 a 7 ans. Au-dela, le token devient inutilisable et l'utilisateur est bloque. Tenir un inventaire avec la date d'activation, et planifier le renouvellement 6 mois avant la fin de vie theorique. Les FIDO2 sans batterie n'ont pas cette contrainte.
Pour le responsable / gestionnaire.
Les tokens FIDO2 (YubiKey, Solokey) sont resistants au phishing par construction : le navigateur vérifie l'origine du site avant d'envoyer la cryptographie. Le guide d'hygiene ANSSI mesure 21 et le NIST 800-63B recommandent FIDO2 pour les comptes sensibles. Les codes OTP par SMS ou meme TOTP restent vulnerables au phishing en temps reel.
Le jour meme du départ d'un collaborateur, ses tokens MFA doivent etre revoques au meme titre que ses comptes. ISO 27001 A.9.2.6 et le guide ANSSI imposent cette pratique. Integrer la collecte du token materiel au processus de sortie (RH), et la revocation logique dans l'outil IAM.
Un seul token enroke par compte est un point unique de defaillance : panne, perte, batterie morte. Enroler systematiquement deux tokens FIDO2 par compte critique (admin, DPO, RSSI). Stocker le second token dans un coffre. Les codes de secours imprimes en complement doivent etre stockes hors ligne et regenérés apres tout incident.
Pour l'auditeur et le contrôle de conformité.
Le jour meme du départ d'un collaborateur, ses tokens MFA doivent etre revoques au meme titre que ses comptes. ISO 27001 A.9.2.6 et le guide ANSSI imposent cette pratique. Integrer la collecte du token materiel au processus de sortie (RH), et la revocation logique dans l'outil IAM.