{ "uuid": "f91d8bde22b35da4cd147bbd6d01ea02", "slug": "controle-mfa-deploiement", "lang": "fr", "audience": null, "count": 6, "conseils": [ { "uuid": "1191ba9f98db4d748691fa62d2557949", "category": "regulatory", "audience": [ "manager", "technician" ], "severity": "critical", "title": "Imposer le MFA sur tous les comptes a privilèges", "content": "Le guide d'hygiene informatique de l'ANSSI mesure 21 impose le MFA pour tous les comptes a privilèges sans exception. La directive NIS2 art. 21 et le RGPD art. 32 vont dans le meme sens. Un seul compte admin sans MFA suffit a compromettre l'ensemble du SI : la tolerance doit etre zero, audite chaque mois." }, { "uuid": "fbff725ba2b248eba3629fcc2683bfcc", "category": "operational", "audience": [ "technician", "manager" ], "severity": "mandatory", "title": "Couvrir les acces VPN, messagerie et applications critiques", "content": "Le MFA sur les seuls comptes admin ne suffit pas : la majorite des compromissions passent par le phishing sur des utilisateurs standard. Etendre le MFA a tous les acces VPN, a la messagerie (Microsoft 365, Google Workspace), aux applications métier critiques et aux outils de telemaintenance. Documenter les exceptions justifiees." }, { "uuid": "58392454e1f645f4b53d2a581dfb0dc5", "category": "operational", "audience": [ "technician" ], "severity": "recommended", "title": "Privilégier FIDO2 ou push validation sur l'application", "content": "Les codes par SMS sont vulnerables au SIM swapping et au phishing en temps reel. Les codes TOTP restent vulnerables au phishing si l'utilisateur les saisit sur un faux site. FIDO2 (YubiKey, clés materielles) et la validation push avec vérification de l'origine sont les solutions les plus robustes recommandees par l'ANSSI." }, { "uuid": "b72c31535f5d4ec3af4edc01ccc81ae6", "category": "training", "audience": [ "manager", "technician" ], "severity": "recommended", "title": "Former les utilisateurs aux scenarios de fatigue MFA", "content": "Les attaques par 'MFA fatigue' (notifications push repetees pour pousser l'utilisateur a accepter par lassitude) sont en hausse. Sensibiliser les utilisateurs : aucune notification non sollicitee ne doit etre acceptee, et toute tentative repetee doit etre signalee immédiatement. Activer la fonction number matching si l'outil le supporte." }, { "uuid": "86dcc66bc0c846fc9d88fb92f9d676b8", "category": "operational", "audience": [ "technician", "manager" ], "severity": "mandatory", "title": "Documenter la procedure de recuperation de compte", "content": "Que faire en cas de perte du second facteur ? Sans procedure formelle, soit la personne reste bloquee, soit l'admin contourne le MFA en urgence (avec risques). Documenter une procedure : vérification d'identite forte, MFA temporaire pour 24h, journalisation systematique. Cette procedure est elle-meme un point d'attaque a auditer." }, { "uuid": "7c394ea6e1894a85ac36bb533136db73", "category": "regulatory", "audience": [ "auditor", "manager" ], "severity": "recommended", "title": "Tenir un tableau de couverture par application", "content": "Pour l'audit, maintenir un tableau a jour : pour chaque application critique, statut MFA (active, optionnel, absent), methode utilisee, date de derniere vérification. Ce document est l'un des premiers demandes par un auditeur ISO 27001 ou un assureur cyber." } ] }