Double authentification : pourquoi c’est indispensable et comment la mettre en place
La double authentification bloque plus de 99% des attaques automatisées sur les comptes. C’est la mesure la plus efficace par rapport au temps investi — et pourtant la moitié des PME françaises ne l’ont pas activée. Guide complet pour passer à l’action.
Qu’est-ce que la double authentification exactement ?
La double authentification (aussi appelée authentification à deux facteurs, 2FA, ou MFA — multi-factor authentication) est un mécanisme de sécurité qui exige deux preuves d’identité distinctes pour accéder à un compte, au lieu d’un seul mot de passe.
Ces deux preuves appartiennent à deux catégories différentes parmi trois possibles :
- Ce que vous savez — un mot de passe, un code PIN
- Ce que vous avez — votre téléphone, une clé physique USB
- Ce que vous êtes — empreinte digitale, reconnaissance faciale
La combinaison la plus courante en entreprise : mot de passe (ce que vous savez) + code à usage unique sur smartphone (ce que vous avez).
Pourquoi c’est la mesure la plus efficace
La double authentification est souvent présentée comme « la » mesure prioritaire en cybersécurité. Ce n’est pas de la communication — c’est une réalité statistique.
Microsoft a publié en 2023 une étude basée sur ses propres données de sécurité : la double authentification bloque plus de 99,9% des attaques automatisées sur les comptes. Autrement dit, même si votre mot de passe est volé via phishing ou une fuite de données, l’attaquant ne peut pas accéder à votre compte sans avoir aussi accès à votre téléphone.
Des milliards de couples identifiant/mot de passe circulent sur le dark web, issus de fuites de données d’entreprises tierces. Si vous utilisez le même mot de passe sur plusieurs services — pratique très courante malgré les recommandations — un seul service hacké compromet tous vos comptes. La double authentification casse ce mécanisme.
Sur quels comptes l’activer en priorité
Idéalement, la double authentification doit être activée partout. En pratique, si vous devez prioriser :
- Messagerie professionnelle (Gmail, Outlook, Zimbra) — c’est le compte le plus ciblé. Accéder à la messagerie donne accès à tout : mots de passe oubliés, communications confidentielles, identité numérique
- Outils cloud (Microsoft 365, Google Workspace) — souvent connectés à toutes les données de l’entreprise
- VPN et accès distants — c’est par là que passent la plupart des intrusions de ransomware
- Logiciels de gestion (ERP, CRM, comptabilité) — contiennent les données les plus sensibles
- Hébergeur et registrar de domaine — prendre le contrôle de votre domaine permet de rediriger vos emails et d’usurper votre identité
Les différentes méthodes : laquelle choisir
Application d’authentification (recommandé)
Une application sur votre smartphone génère un code à 6 chiffres qui change toutes les 30 secondes. Les plus utilisées : Google Authenticator, Microsoft Authenticator, Authy. C’est la méthode recommandée pour les entreprises — elle fonctionne hors connexion et résiste aux attaques par interception SMS.
SMS (acceptable, mais moins sûr)
Un code est envoyé par SMS sur votre numéro de téléphone. C’est simple et ne nécessite pas d’application. Limite : les SMS peuvent être interceptés via des attaques dites « SIM swapping » (usurpation de carte SIM). Acceptable pour un usage individuel, insuffisant pour les accès critiques d’entreprise.
Clé physique (le plus sécurisé)
Une clé USB physique (YubiKey, par exemple) que vous branchez pour vous authentifier. Résiste à tous les types d’attaques à distance. Coût : 50 à 80 € par clé. Recommandé pour les dirigeants et les personnes ayant accès aux comptes les plus sensibles.
Comment la mettre en place — étape par étape
Choisissez une application d’authentification
Installez Google Authenticator ou Microsoft Authenticator sur votre smartphone professionnel. Ces applications sont gratuites.
Activez la 2FA compte par compte
Dans les paramètres de sécurité de chaque service (Paramètres → Sécurité → Authentification à deux facteurs). Scannez le QR code affiché avec votre application.
Sauvegardez vos codes de récupération
Chaque service vous fournit des codes de récupération à usage unique en cas de perte du téléphone. Imprimez-les et conservez-les en lieu sûr hors du système informatique.
Déployez sur toute l’équipe
Si vous utilisez Microsoft 365 ou Google Workspace, vous pouvez imposer la 2FA à tous les comptes depuis la console d’administration. Prévoyez une session de 30 minutes avec les équipes pour la mise en place.
Documentez la procédure
Créez un document interne expliquant comment configurer la 2FA et que faire en cas de perte du téléphone. Cette documentation est aussi valorisée par les assureurs cyber lors de la souscription.
Les limites à connaître
La double authentification n’est pas une solution magique. Elle ne protège pas contre :
- Les attaques de phishing sophistiquées qui interceptent le code 2FA en temps réel (attaques dites « AITM » — Adversary in the Middle)
- Les logiciels malveillants déjà installés sur le poste qui volent les sessions actives
- Les attaques sur les applications elles-mêmes (si le service est compromis côté serveur)
Pour ces raisons, la 2FA est une mesure nécessaire mais pas suffisante. Elle fait partie d’un ensemble de bonnes pratiques — voir notre checklist cybersécurité PME pour une vue complète.
Les assureurs cyber demandent systématiquement lors de la souscription si vous avez activé la double authentification sur vos accès critiques. La réponse « oui » réduit votre prime. La réponse « non » peut entraîner un refus de couverture ou une exclusion pour les sinistres liés à un accès non autorisé. C’est une mesure qui vaut doublement : elle réduit le risque ET le coût de l’assurance.
La 2FA réduit aussi votre prime d’assurance cyber
Les assureurs valorisent les entreprises qui ont mis en place des mesures de sécurité de base. Comprenez comment.