Comment configurer l'authentification multifacteur pour ton équipe

Les mots de passe, c'est fini. Pas dans un sens théorique — dans le sens pratique que des milliers de comptes se font compromettre chaque semaine par du credential stuffing, du hameçonnage et des attaques par pulvérisation de mots de passe. Microsoft a publié des données qui montrent que l'AMF bloque plus de 99,9 % des attaques automatisées sur les comptes. Ce chiffre circule depuis des années. Et pourtant, dans presque chaque évaluation de sécurité TI qu'on réalise pour des PME montréalaises, on trouve des comptes sans AMF.

Voilà quoi faire concrètement.

Comment ça marche, l'AMF

Le principe est simple : pour te connecter, faut que t'aies quelque chose que tu connais (ton mot de passe) et quelque chose que t'as en ta possession (un code, un appareil, une clé physique). Un attaquant qui met la main sur ton mot de passe dans une fuite de données ne peut toujours pas se connecter sans ce deuxième facteur.

La distinction importante : tous les deuxièmes facteurs sont pas égaux. Certains résistent au hameçonnage, d'autres non.

Les trois types, classés par niveau de sécurité réel

Les codes SMS — c'est le type le plus faible. Mieux que rien, mais c'est tout. L'échange de carte SIM (SIM swapping), où un attaquant convainc ton fournisseur de transférer ton numéro de téléphone vers son appareil, c'est une attaque documentée et courante. Les codes SMS sont aussi vulnérables aux attaques de hameçonnage en temps réel, où l'attaquant capture et rejoue ton code dans sa fenêtre de validité. Si c'est la seule option disponible pour un service, utilise-le. Mais pense pas que c'est sécurisé.

Les applications d'authentification — Microsoft Authenticator, Google Authenticator, Authy — génèrent des codes à usage unique basés sur le temps, qui changent toutes les 30 secondes. Pas liés à ton numéro de téléphone, donc pas vulnérables au SIM swapping. Microsoft Authenticator supporte aussi la correspondance de numéros (tu confirmes un code à deux chiffres affiché lors de la connexion), ce qui bloque les attaques de fatigue AMF où des attaquants t'envoient des dizaines de demandes d'approbation en espérant que tu cliques Accepter par réflexe. Pour la majorité des PME, c'est le bon niveau de base.

Les clés de sécurité physiques — YubiKey étant la plus connue — offrent l'authentification FIDO2/WebAuthn, qui est résistante au hameçonnage par conception. La clé vérifie cryptographiquement le domaine avant de répondre, ce qui signifie qu'elle n'authentifie pas sur une fausse page de connexion. C'est l'option la plus solide disponible. À 70-110 $ CAD par clé, c'est rentable pour les dirigeants, les admins TI, les gens des finances et toute personne avec des accès élevés.

Configurer l'AMF dans Microsoft 365

C'est là que vivent la plupart des PME montréalaises, donc ça vaut la peine d'être précis.

1. Connecte-toi au Centre d'administration Microsoft 365 (admin.microsoft.com) avec un compte administrateur général.
2. Dans Entra ID (anciennement Azure AD), va dans Sécurité > Accès conditionnel > Stratégies.
3. Crée une stratégie : exiger l'AMF pour tous les utilisateurs, toutes les applications cloud, tous les emplacements — avec une exclusion pour ton compte d'accès d'urgence (break-glass).
4. Configure d'abord la stratégie en mode "Rapport uniquement". Ça te montre ce qui serait bloqué sans rien bloquer réellement, ce qui te permet de repérer les problèmes avant d'activer.
5. Après avoir examiné les résultats en mode rapport pendant quelques jours, passe à "Activé".

Le compte d'accès d'urgence, c'est essentiel : un compte administrateur général uniquement cloud, avec un long mot de passe aléatoire, stocké hors ligne, que t'utilises si quelque chose foire avec l'application de l'AMF. Les équipes TI qui se verrouillent hors de leur tenant, ça arrive. Saute pas cette étape.

Stratégie de déploiement

Active pas l'AMF pour tout le monde en même temps un lundi matin. Tu vas passer la journée au téléphone.

Commence par les administrateurs TI. Ils sont plus à l'aise techniquement et peuvent gérer leurs propres problèmes. Leurs comptes sont aussi les plus à risque.

Passe ensuite aux dirigeants et au personnel des finances — des cibles de grande valeur qui ont souvent le moins de patience technique. Informe-les personnellement, explique pourquoi c'est important (un compte courriel de PDG compromis peut autoriser des virements frauduleux), et assure-toi qu'il y a quelqu'un disponible pour les aider lors de leur première connexion.

Déploie pour tout le personnel en groupes sur deux à trois semaines. Couple le déploiement technique avec une courte explication — un paragraphe, pas un document de politique — de ce qui change et pourquoi.

Gérer la résistance des employés

L'objection la plus fréquente : "C'est trop compliqué." La réponse honnête : ça ajoute environ 10 secondes à ta connexion du matin. Une fois l'application configurée et après quelques connexions, tu le remarques presque plus. Microsoft Authenticator sur les appareils récents supporte l'approbation biométrique — c'est plus rapide que taper un mot de passe.

La deuxième objection : "Je veux pas utiliser mon téléphone personnel pour le travail." C'est légitime. Les options incluent fournir un appareil d'authentification dédié (un vieux smartphone fait l'affaire), utiliser des clés physiques, ou — pour Microsoft 365 — activer Microsoft Authenticator Lite qui crée un profil de travail séparé de l'usage personnel.

Si quelqu'un perd son appareil

C'est le scénario qui empêche les équipes TI d'activer l'AMF. La réponse, c'est la politique, pas l'évitement.

Documente une procédure de perte d'appareil avant le déploiement : qui contacter, comment vérifier l'identité (appel téléphonique avec le gestionnaire, pas juste un courriel), qui a l'autorité pour réinitialiser l'AMF. Les admins Microsoft 365 peuvent supprimer les méthodes AMF d'un utilisateur dans le portail Entra ID, ce qui force une nouvelle inscription à la prochaine connexion. Ça prend deux minutes une fois que t'as fait ça une fois.

Les Temporary Access Pass (TAP) dans Entra ID te permettent d'émettre un identifiant à durée limitée exactement pour ce scénario. Configure-les dans le cadre de ton déploiement AMF.

L'AMF résistante au hameçonnage : FIDO2

Si tu veux aller plus loin — et pour toute organisation qui gère des données client sensibles, c'est à considérer — FIDO2/WebAuthn est la norme vers laquelle migrer. Les clés YubiKey Series 5 supportent FIDO2, fonctionnent avec Microsoft 365, Google Workspace et la plupart des applications web modernes.

La différence clé : FIDO2 envoie pas un code qui peut être capturé et rejoué. L'authentification est liée au domaine spécifique. Une fausse page de connexion Microsoft convaincante ne reçoit rien, parce que la clé ne répond pas à elle.

Le niveau minimal à viser

AMF sur chaque compte. Zéro exception pour les "utilisateurs avancés" qui trouvent ça inconvénient. Application d'authentification comme minimum, clés physiques pour les comptes privilégiés. Accès conditionnel plutôt que paramètres AMF par utilisateur. Procédure de perte d'appareil documentée avant que quelqu'un perde un appareil.

C'est pas une posture de sécurité parfaite. Mais ça ferme la brèche qui explique la grande majorité des compromissions de comptes qu'on voit — et ça prend une après-midi à déployer correctement.