MFA : Multi-Factor Authentication

L'authentification multi-facteurs combine plusieurs types de preuves d'identité : ce que l'utilisateur sait (mot de passe, code PIN), ce qu'il possède (carte à puce, jeton OTP, smartphone) ou ce qu'il est (biométrie). Ce mécanisme atténue significativement les risques d'accès illégitime suite à la compromission d'un mot de passe, car un attaquant devra réunir simultanément plusieurs facteurs pour réussir une intrusion.

Fonctionnement et facteurs d'authentification

L'ANSSI et l'ENISA positionnent la MFA comme une défense primaire contre les cybermenaces, notamment pour les comptes à privilèges et systèmes sensibles. L'ANSSI la classe parmi les cinq mesures prioritaires à déployer de manière préventive. Les facteurs se répartissent en trois catégories : facteur de connaissance (mot de passe), facteur de possession (application générant des codes TOTP, clé de sécurité matérielle) et facteur d'inhérence (empreinte digitale, reconnaissance faciale). Plus le nombre de facteurs est élevé, plus la sécurité est renforcée. L'authentification forte désigne en général un mécanisme reposant sur la cryptographie robuste, pouvant s'appuyer sur un seul facteur de possession (ex : certificat PKI) ou sur la combinaison de plusieurs facteurs.

L'ANSSI a publié en octobre 2021 un guide technique de référence qui précise les recommandations en matière d'authentification multi-facteur et de gestion des mots de passe. La CNIL, de son côté, a lancé en mars 2024 une consultation publique sur une recommandation dédiée au traitement RGPD des données collectées dans le cadre de la MFA.

Lien avec NIS2

L'article 21, paragraphe 2(j) de la directive NIS2 impose l'authentification multi-facteur comme mesure de sécurité essentielle pour les entités critiques, en précisant : "l'utilisation de solutions d'authentification à plusieurs facteurs […] au sein de l'entité, selon les besoins." L'expression "selon les besoins" signifie partout où l'absence de MFA pourrait entraîner une faille de sécurité. Dans la pratique, les entités régulées doivent évaluer leur surface d'attaque identitaire, identifier les points d'accès critiques (comptes à privilèges, applications métier, accès à distance, outils de gestion en ligne de commande) et appliquer la MFA là où l'absence de protection multiple constitue un risque de compromission. Le référentiel d'exigences que l'ANSSI finalise pour accompagner la transposition de NIS2 en France précisera les modalités pratiques. Vous pouvez consulter le détail des mesures techniques NIS2 pour un accompagnement opérationnel.

Pour aller plus loin

• Guide ANSSI – Recommandations relatives à l'authentification multifacteur et aux mots de passe (octobre 2021)
• Projet de recommandation CNIL relative à l'authentification multifacteur (mars 2024)