Pour le technicien qui intervient.
Le guide d'hygiene informatique de l'ANSSI mesure 21 impose le MFA pour tous les comptes a privilèges sans exception. La directive NIS2 art. 21 et le RGPD art. 32 vont dans le meme sens. Un seul compte admin sans MFA suffit a compromettre l'ensemble du SI : la tolerance doit etre zero, audite chaque mois.
Le MFA sur les seuls comptes admin ne suffit pas : la majorite des compromissions passent par le phishing sur des utilisateurs standard. Etendre le MFA a tous les acces VPN, a la messagerie (Microsoft 365, Google Workspace), aux applications métier critiques et aux outils de telemaintenance. Documenter les exceptions justifiees.
Que faire en cas de perte du second facteur ? Sans procedure formelle, soit la personne reste bloquee, soit l'admin contourne le MFA en urgence (avec risques). Documenter une procedure : vérification d'identite forte, MFA temporaire pour 24h, journalisation systematique. Cette procedure est elle-meme un point d'attaque a auditer.
Les codes par SMS sont vulnerables au SIM swapping et au phishing en temps reel. Les codes TOTP restent vulnerables au phishing si l'utilisateur les saisit sur un faux site. FIDO2 (YubiKey, clés materielles) et la validation push avec vérification de l'origine sont les solutions les plus robustes recommandees par l'ANSSI.
Les attaques par 'MFA fatigue' (notifications push repetees pour pousser l'utilisateur a accepter par lassitude) sont en hausse. Sensibiliser les utilisateurs : aucune notification non sollicitee ne doit etre acceptee, et toute tentative repetee doit etre signalee immédiatement. Activer la fonction number matching si l'outil le supporte.
Pour le responsable / gestionnaire.
Le guide d'hygiene informatique de l'ANSSI mesure 21 impose le MFA pour tous les comptes a privilèges sans exception. La directive NIS2 art. 21 et le RGPD art. 32 vont dans le meme sens. Un seul compte admin sans MFA suffit a compromettre l'ensemble du SI : la tolerance doit etre zero, audite chaque mois.
Le MFA sur les seuls comptes admin ne suffit pas : la majorite des compromissions passent par le phishing sur des utilisateurs standard. Etendre le MFA a tous les acces VPN, a la messagerie (Microsoft 365, Google Workspace), aux applications métier critiques et aux outils de telemaintenance. Documenter les exceptions justifiees.
Que faire en cas de perte du second facteur ? Sans procedure formelle, soit la personne reste bloquee, soit l'admin contourne le MFA en urgence (avec risques). Documenter une procedure : vérification d'identite forte, MFA temporaire pour 24h, journalisation systematique. Cette procedure est elle-meme un point d'attaque a auditer.
Les attaques par 'MFA fatigue' (notifications push repetees pour pousser l'utilisateur a accepter par lassitude) sont en hausse. Sensibiliser les utilisateurs : aucune notification non sollicitee ne doit etre acceptee, et toute tentative repetee doit etre signalee immédiatement. Activer la fonction number matching si l'outil le supporte.
Pour l'audit, maintenir un tableau a jour : pour chaque application critique, statut MFA (active, optionnel, absent), methode utilisee, date de derniere vérification. Ce document est l'un des premiers demandes par un auditeur ISO 27001 ou un assureur cyber.
Pour l'auditeur et le contrôle de conformité.
Pour l'audit, maintenir un tableau a jour : pour chaque application critique, statut MFA (active, optionnel, absent), methode utilisee, date de derniere vérification. Ce document est l'un des premiers demandes par un auditeur ISO 27001 ou un assureur cyber.