nis2-pro.frTrouvez un prestataire →
10Mesure n° 10 · Article 21 §2

Authentification multi-facteur et communications sécurisées (Article 21 NIS2) — Clé de voûte de la protection périmétrique

Ce que dit l'article 21 §2 — texte de la mesure et intention

L'article 21 paragraphe 2 alinéa j) de la directive NIS2 impose « l'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées, ainsi que de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant ». Cette formulation inscrit explicitement l'authentification multifacteur (MFA) parmi les dix mesures minimales obligatoires, faisant de NIS2 l'une des rares réglementations européennes à nommer une technique de sécurité de manière aussi précise.

L'intention du législateur européen est double : empêcher la compromission des comptes par vol d'identifiants, vecteur dominant des intrusions, et garantir que les canaux de communication internes restent confidentiels, notamment en situation de crise. C'est l'une des rares mesures techniques spécifiquement nommées dans la directive, ce qui souligne son importance.

Le périmètre opérationnel couvre trois axes : l'authentification renforcée des utilisateurs et administrateurs, le chiffrement des échanges voix/vidéo/texte pour toutes les communications métier sensibles, et les dispositifs de communication d'urgence permettant aux équipes de gestion de crise de coordonner une réponse même lorsque les systèmes principaux sont compromis. L'approche est proportionnée : l'interprétation de « le cas échéant » signifie partout où il y a une probabilité que l'absence de protection MFA puisse entraîner une violation cyber.

Référentiels et standards qui s'articulent

L'authentification multifacteur et les communications sécurisées ne sont pas propres à NIS2 ; plusieurs référentiels convergent pour former un socle doctrinal cohérent.

ISO 27001:2022 Annexe A 8.5 formalise les exigences en matière d'authentification sécurisée. L'Annexe A 8.5 impose des mécanismes d'authentification sécurisés pour empêcher tout accès non autorisé, en recommandant l'authentification multifacteur (MFA), les connexions biométriques et les contrôles d'accès intelligents. Le contrôle 8.5 est détaillé dans ISO 27002:2022 qui fournit douze lignes directrices pour concevoir un processus d'authentification robuste, incluant la limitation de l'aide aux utilisateurs malveillants et le refus d'affichage d'information pré-connexion.

NIST CSF 2.0, publié en février 2024, renforce le positionnement de la MFA comme contrôle fondamental. L'implémentation de mesures de sécurité des identités comme la gestion des accès privilégiés (PAM), l'authentification multifacteur (MFA) et la surveillance continue aide les organisations à se protéger contre les accès non autorisés, les menaces internes et les violations potentielles. Le NIST SP 800-53 Rev. 5 définit les contrôles IA-2(1) et IA-2(2), prescrivant la MFA pour les comptes privilégiés et non privilégiés, tant pour l'accès local que réseau.

Le Référentiel Général de Sécurité (RGS), obligatoire pour l'administration française, recommande l'usage de facteurs de possession conformes à un composant de sécurité qualifié pour les accès sensibles. L'ANSSI conseille l'utilisation d'un facteur de possession (de type clé de sécurité ou token) conforme aux normes RGS.

L'ANSSI publie depuis octobre 2021 un guide de référence : « Recommandations relatives à l'authentification multifacteur et aux mots de passe ». Ce document technique détaille les architectures admissibles (TOTP, FIDO2, smartcards), les écueils (SMS OTP vulnérable au SIM swapping), la journalisation des événements MFA et la gestion des exceptions. Pour le second facteur d'authentification, l'ANSSI recommande d'éviter les SMS OTP, jugés trop vulnérables aux attaques comme le SIM swapping, et de privilégier les applications d'authentification basées sur le TOTP ou les clefs de sécurité physiques.

Pour les communications sécurisées, les standards dominants sont SRTP (Secure Real-time Transport Protocol) pour le chiffrement des flux voix/vidéo, TLS 1.2/1.3 pour les canaux de signalisation SIP (SIPS), et le chiffrement de bout en bout pour la messagerie (OMEMO, Signal Protocol). Le chiffrement des communications VoIP, grâce à des protocoles tels que le Secure SIP et le SRTP, permet de protéger vos conversations contre les écoutes illégales.

La CNIL a publié en mars 2025 une recommandation relative à l'authentification multifacteur, alignée avec celle de l'ANSSI. La CNIL recommande que toute opération d'administration ou de gestion d'une solution d'authentification multifacteur soit conditionnée à une authentification multifacteur ayant elle-même au moins la même robustesse, créant ainsi une exigence de cohérence sur l'ensemble de la chaîne d'administration.

Mise en œuvre opérationnelle — étapes concrètes pour une entité régulée

Déployer la MFA et sécuriser les communications nécessite une approche structurée en quatre phases.

Phase 1 : Inventaire et cartographie des accès critiques Identifiez tous les points d'accès nécessitant protection : accès administrateurs aux SI, accès à distance (VPN, bureaux virtuels), accès aux applications SaaS sensibles (messagerie, ERP, SIRH), accès aux plateformes cloud (Azure, AWS, GCP), accès aux interfaces d'administration des équipements réseau et sécurité. Les organisations doivent évaluer la surface d'attaque des identités : déterminer toutes les entrées potentielles dans l'infrastructure numérique de l'organisation. Identifier les vulnérabilités : déterminer les zones où l'absence de MFA pourrait entraîner un accès non autorisé ou des violations de données. Cette cartographie doit couvrir également les comptes à privilèges (comptes de service, comptes de secours) qui constituent souvent la cible prioritaire des attaquants.

Phase 2 : Choix de la pile technique MFA Trois familles de facteurs existent : connaissance (mot de passe, PIN), possession (clé FIDO2, token TOTP, carte à puce), inhérence (biométrie). La robustesse croît lorsque les facteurs sont de natures différentes. Pour le périmètre NIS2, privilégiez : applications d'authentification TOTP (Google Authenticator, Microsoft Authenticator, Duo, Aegis) pour les comptes utilisateurs standards ; clés de sécurité matérielles FIDO2 (YubiKey, Nitrokey, Titan) pour les comptes administrateurs et les accès aux systèmes les plus critiques ; authentification via certificat numérique ou carte à puce pour les environnements industriels (OT) ou réglementés sensibles.

Évitez les SMS OTP pour les accès à risque : l'ANSSI et le NIST déconseillent le SMS pour les accès à haut risque en raison de ses vulnérabilités connues (SIM swapping, interception SS7, phishing en temps réel). L'intégration avec l'annuaire Active Directory / Entra ID ou l'IdP SAML/OIDC simplifie le déploiement centralisé.

Phase 3 : Sécurisation des communications métier Pour la voix et la vidéo : déployez des solutions VoIP sécurisées avec SIPS (SIP over TLS) et SRTP. Les entreprises doivent intégrer des protocoles sécurisés comme le SIP sécurisé (SIPS) et le SRTP pour assurer le chiffrement des communications vocales. Configurez un VPN pour les accès à distance aux services de téléphonie. Pour la messagerie instantanée professionnelle, préférez les plateformes offrant le chiffrement de bout en bout (Signal, Element/Matrix, Microsoft Teams avec chiffrement E2EE activé, Olvid). Pour le courrier électronique, activez TLS obligatoire pour les flux SMTP sortants et entrants ; déployez S/MIME ou PGP pour les échanges sensibles avec partenaires externes ; activez DMARC/DKIM/SPF pour lutter contre l'usurpation d'identité.

Phase 4 : Déploiement des systèmes de communication d'urgence Lorsqu'un incident majeur survient, les canaux de communication standard peuvent être compromis ou indisponibles. Mettez en place : une plateforme de communication de crise hors-bande (ligne téléphonique analogique dédiée, téléphonie satellitaire pour les sites critiques, application mobile sécurisée utilisable sans accès au SI central) ; un annuaire de crise pré-positionné (coordonnées hors messagerie professionnelle) ; un plan de communication de crise testé semestriellement.

Suivi et exceptions Les contournements de la MFA sont le talon d'Achille du dispositif. Les exceptions doivent être strictement encadrées : tout contournement doit être approuvé par le RSSI, documenté, limité dans le temps et compensé par des mesures alternatives (surveillance renforcée, restriction d'accès). Journalisez tous les événements MFA (succès, échecs, renouvellement de facteurs) dans un SIEM pour permettre la détection d'anomalies. L'ANSSI recommande de conserver les histoires des événements liés aux facteurs d'authentification afin de faciliter la détection de comportements anormaux.

Prestataires ANSSI à mobiliser pour cette mesure — lesquels et à quel moment

Le déploiement et l'audit de la mesure MFA/communications sécurisées font appel à plusieurs qualifications ANSSI.

PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) intervient pour auditer l'architecture d'authentification et les mécanismes de contrôle d'accès. Un test d'intrusion PASSI ou PASSI-LPM vérifie la résistance réelle de la MFA aux attaques : force brute, rejeu de session, attaques de l'homme du milieu, exploitation de failles dans l'implémentation du second facteur. Le PASSI audite également la conformité du chiffrement des communications (TLS, SRTP) et détecte les canaux non sécurisés résiduels. Fréquence recommandée : audit initial avant mise en production, puis annuellement ou après modification significative de l'architecture d'accès.

PDIS (Prestataire de Détection des Incidents de Sécurité) surveille en continu les tentatives d'authentification suspectes : nombre anormal d'échecs MFA, accès depuis des géographies inhabituelles, utilisation de second facteur depuis un appareil non déclaré. Le SOC qualifié PDIS corrèle les logs MFA avec d'autres signaux faibles (exfiltration de données, mouvement latéral) pour identifier les compromissions en cours. En cas d'attaque par credential stuffing ou phishing ciblé, le PDIS détecte et alerte en quelques minutes.

PRIS (Prestataire de Réponse aux Incidents de Sécurité) intervient lorsqu'un incident impliquant la compromission d'identifiants est confirmé. Le PRIS réalise l'investigation forensique des logs d'authentification, identifie l'étendue de la compromission (quels comptes, quels systèmes, quelle fenêtre temporelle), et accompagne la remédiation (révocation de tokens, forçage de ré-enrôlement MFA, durcissement des règles d'accès conditionnel). En situation de crise, le PRIS coordonne les communications d'urgence avec les équipes internes.

PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) accompagne la définition de la politique d'authentification (quel facteur pour quel périmètre, gestion des exceptions, procédures de secours) et la conception de l'architecture de communication sécurisée (choix des protocoles, segmentation, PKI interne si nécessaire). Le PACS rédige les procédures de gestion des identités et accompagne la conduite du changement auprès des utilisateurs (formation, documentation, support de niveau 1 post-déploiement).

SecNumCloud devient pertinent si l'authentification repose sur des services cloud (IdP SaaS, coffre-fort de mots de passe cloud, plateforme de communication unifiée hébergée). L'hébergement de ces briques critiques sur une infrastructure qualifiée SecNumCloud garantit la souveraineté et la résilience des mécanismes d'authentification face aux réquisitions extraterritoriales ou aux défaillances de l'hébergeur.

Outils techniques recommandés — catégories agnostiques

La mise en œuvre de la mesure 10 s'appuie sur plusieurs catégories d'outils complémentaires.

Plateformes de gestion des identités et accès (IAM / IdP) : solutions centralisées pour gérer l'authentification, l'autorisation et le provisioning des comptes. Exemples de technologies : Entra ID (Azure AD), Okta, Keycloak (open-source), Auth0, Ping Identity. Fonctions clés : single sign-on (SSO), fédération SAML/OIDC, accès conditionnel basé sur le contexte (IP, appareil, comportement utilisateur), gestion des politiques MFA granulaires par groupe ou application.

Solutions MFA autonomes et adaptatives : plateformes dédiées à la gestion et à l'orchestration du second facteur. Technologies : Duo Security, RSA SecurID, Thales SafeNet, TOTP open-source (FreeOTP, Aegis Authenticator). Fonctions : support multi-protocole (RADIUS, LDAP, SAML), mécanismes adaptatifs (challenge renforcé si comportement inhabituel), gestion centralisée des tokens matériels et logiciels.

Coffres-forts de mots de passe d'entreprise (PAM – Privileged Access Management) : pour la gestion sécurisée des comptes à privilèges. Technologies : CyberArk, BeyondTrust, Thycotic Secret Server, Hashicorp Vault (open-source). Fonctions : stockage chiffré des credentials, rotation automatique des mots de passe, enregistrement de sessions administrateur, MFA obligatoire avant élévation de privilèges.

Plateformes de communication sécurisée : pour voix, vidéo, messagerie chiffrées. Technologies : pour la VoIP sécurisée : systèmes PBX supportant SIPS/SRTP (Asterisk configuré en mode sécurisé, 3CX avec TLS, solutions Yeastar) ; pour la messagerie : Element (Matrix), Signal for Work, Microsoft Teams avec E2EE, Olvid ; pour la visioconférence : Jitsi Meet auto-hébergé, Cisco Webex (mode chiffré), services conformes RGPD avec chiffrement de bout en bout.

SIEM / SOAR pour la surveillance des événements d'authentification : agréger et analyser les logs MFA pour détecter les comportements anormaux. Technologies : Splunk, Elastic Security (ELK), QRadar, Wazuh (open-source), Microsoft Sentinel. Cas d'usage : alertes sur échecs MFA répétés, détection d'impossible travel (connexion depuis deux pays en moins de temps que le vol), suivi des campagnes de phishing ciblant des comptes.

Outils de gestion de PKI et certificats : pour l'authentification par certificat et le chiffrement S/MIME. Technologies : Microsoft AD CS, OpenSSL / Easy-RSA, certbot pour Let's Encrypt (environnements moins critiques). Fonctions : génération et révocation de certificats, distribution automatique, suivi de l'expiration.

Cas d'incidents documentés — où l'absence/défaillance de cette mesure a aggravé l'impact

Plusieurs incidents majeurs survenus entre 2023 et 2026 illustrent les conséquences directes de l'absence ou de la défaillance de MFA et de communications sécurisées.

France Travail (mars 2024, juillet 2025, octobre 2025, décembre 2025) : L'attaque la plus massive de l'histoire française avec 43 millions de personnes concernées en mars 2024. En juillet 2025, 340 000 comptes supplémentaires compromis via la plateforme Kairos. Méthode : Exploitation de comptes partenaires compromis, infostealers sur ordinateurs personnels, absence de MFA généralisée malgré les alertes depuis 2023. L'absence de MFA sur les comptes partenaires a permis aux attaquants d'accéder au SI central à partir de credentials volés par infostealer, transformant une compromission individuelle en brèche systémique.

FICOBA (mi-février 2026) : Accès illégitime au fichier national des comptes bancaires via usurpation d'identifiants d'un fonctionnaire. 1,2 million de comptes consultés (RIB/IBAN, identité, adresse, identifiant fiscal) du 28 janvier au 13 février. Un seul compte compromis sans MFA a suffi pour un accès prolongé à des données financières souveraines. L'absence de surveillance des événements d'authentification a retardé la détection de 16 jours.

Vague d'attaques contre les fédérations sportives françaises (décembre 2025 – mars 2026) : Série systémique touchant UNSS, FF Gymnastique, FF Athlétisme, voile, natation, golf, tennis, chasseurs... Des millions de licenciés exposés (identités, adresses, permis, numéros). L'exploitation de systèmes de gestion sans MFA a permis des accès massifs aux bases de données. Les données ont été revendues sur le dark web et utilisées pour du phishing ciblé et des cambriolages.

Kiabi (janvier 2025) : Une cyberattaque de type credential stuffing a compromis les comptes clients de Kiabi. En réutilisant des identifiants dérobés sur d'autres plateformes, les attaquants ont accédé aux espaces personnels d'environ 20 000 clients. Ils ont pu exfiltrer des informations sensibles, dont des IBAN liés aux remboursements. L'absence de MFA sur les comptes clients a transformé des fuites tierces en compromission directe, démontrant l'effet domino du réemploi de credentials.

Près de 80 % des violations de grande ampleur en 2024 : Près de 80% des violations de grande ampleur constatées par la CNIL en 2024 ont été permises par l'usurpation du compte d'un employé ou d'un sous-traitant qui était protégé uniquement par un mot de passe. Cette statistique globale montre que la compromission d'identifiants non protégés par MFA reste le vecteur dominant des cyberattaques réussies en France.

Ces incidents ont en commun une séquence identique : vol ou phishing de credentials → absence de second facteur → accès légitime apparemment normal → exfiltration massive → détection tardive. La MFA est l'une des mesures les plus efficaces contre les attaques par rançongiciel. Microsoft estime que la MFA bloque 99,9% des attaques par compromission de comptes.

Sanctions et risques en cas de non-conformité

Le défaut de mise en œuvre de l'authentification multifacteur et des communications sécurisées expose les entités régulées à un faisceau de sanctions administratives, pénales et réputationnelles.

Sanctions NIS2 : La directive impose aux États membres un plafond minimum pour les amendes en cas d'infraction aux articles 21 (mesures de gestion des risques) ou 23 (obligations de notification). Au-delà de l'amende, les autorités nationales disposent d'un éventail d'autres sanctions : injonctions de mise en conformité, suspension temporaire de certifications, interdiction temporaire d'exercer des fonctions de direction. En France, la transposition fixe des sanctions pouvant atteindre 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros pour les entités importantes, et jusqu'au double pour les entités essentielles.

Sanctions CNIL et RGPD : lorsque l'absence de MFA conduit à une violation de données personnelles, la CNIL peut sanctionner au titre du RGPD (défaut de sécurité, article 32). La CNIL renforcera dès 2026 sa politique de contrôle pour s'assurer de la mise en place de l'authentification multifacteur pour ces grandes bases de données. L'absence de cette mesure pourra justifier que soit initiée une procédure de sanction. Les amendes RGPD peuvent atteindre 4 % du CA mondial ou 20 millions d'euros.

Responsabilité personnelle des dirigeants : En cas de manquement grave, les dirigeants peuvent être tenus personnellement responsables selon les modalités que chaque État membre définira dans son texte de transposition. La directive NIS2 impose aux organes de direction d'approuver et de superviser les mesures de cybersécurité ; un incident majeur résultant d'une carence évidente (absence de MFA sur les comptes administrateurs, communications non chiffrées) peut engager leur responsabilité civile et pénale.

Risques opérationnels et financiers : au-delà des amendes, l'absence de MFA et de communications sécurisées multiplie les risques business. Temps d'indisponibilité prolongé lors d'incidents (système bloqué faute de communication d'urgence fonctionnelle) ; coûts de remédiation post-incident (forensique, durcissement, communication de crise) ; perte de confiance clients et partenaires, résiliation de contrats ; non-admissibilité aux appels d'offres exigeant une conformité NIS2 ou ISO 27001.

Contentieux judiciaire et class actions : les victimes d'une fuite de données peuvent engager la responsabilité de l'entité pour défaut de sécurité. L'absence de MFA, mesure de sécurité désormais considérée comme baseline par l'industrie, constitue une négligence établie facilitant l'engagement de responsabilité.

La combinaison de ces sanctions crée un risque juridique et financier majeur. L'année 2024 a été marquée par une recrudescence de fuites de données massives, concernant plusieurs millions de personnes. Leur fréquence croissante justifie de renforcer la sécurité des traitements concernant de grands volumes de données personnelles. La MFA et les communications sécurisées ne sont plus optionnelles : elles constituent le socle minimal attendu par le régulateur, les auditeurs et les clients.

Ressources officielles : Directive NIS2 (EUR-Lex) · ANSSI – La directive NIS 2 · MonEspaceNIS2 · Annuaire prestataires qualifiés ANSSI · Recommandations ANSSI – Authentification multifacteur et mots de passe · Recommandation CNIL – Authentification multifacteur (mars 2025)

Liens internes : Analyse de risques et sécurité des SI · Gestion des incidents · Contrôle d'accès et gestion des actifs · Cryptographie et chiffrement · Prestataires PASSI · Prestataires PRIS · Prestataires PDIS · Secteur bancaire · Santé · Infrastructures numériques

9. Sécurité RH, contrôle d'accès et gestion des actifsToutes les mesures