Dans une TPE ou une PME, un seul compte mal protégé peut suffire à faire basculer la journée. La boîte mail du dirigeant permet de relancer un fournisseur. Un compte Microsoft 365 admin permet de réinitialiser d'autres accès. Un portail VPN ouvre la porte au réseau. Une console de sauvegarde compromise fragilise la reprise. Le MFA fait partie des rares mesures qui réduisent ce risque très vite. C'est aussi l'un des sujets qui permet de distinguer une sécurité déclarative d'une sécurité réellement pilotée.
Le problème apparaît quand le déploiement est pensé trop large, trop tôt. Beaucoup de structures veulent l'activer partout en même temps, puis butent sur les exceptions, les comptes partagés, les téléphones non préparés ou les habitudes d'usage. Le bon mouvement consiste à traiter d'abord les accès qui donnent le plus de pouvoir, le plus d'exposition Internet et le plus d'impact métier. C'est cette hiérarchie qui fait réellement baisser le risque. Pour un dirigeant, la vraie question n'est donc pas "avons-nous du MFA". La vraie question est plutôt "les comptes qui peuvent bloquer l'activité ou l'exposer sont-ils protégés maintenant".
En bref
- Activez d'abord le MFA sur les comptes administrateurs.
- Verrouillez ensuite la messagerie, les accès distants et les outils financiers.
- Protégez aussi les consoles de sauvegarde, trop souvent oubliées.
- Utilisez l'application d'authentification comme socle, puis montez en gamme sur les comptes sensibles.
- Prévoyez dès le départ la récupération, les comptes d'urgence et la fin des accès hérités.
- Commencez par les comptes qui peuvent administrer, réinitialiser, payer ou restaurer.
Le problème réel
Dans beaucoup de TPE et de PME, le MFA est encore traité comme une option de confort ou comme une contrainte utilisateur. Cette lecture est trop courte. Le mot de passe seul reste une barrière fragile dès qu'un compte est exposé à du phishing, à de la réutilisation de mot de passe ou à un accès hérité mal contrôlé.
L'ANSSI recommande de renforcer l'authentification sur les accès sensibles dans son guide d'hygiène informatique. Le NIST rappelle de son côté, dans SP 800-63B, qu'un niveau d'authentification plus élevé repose sur deux facteurs distincts et qu'une option résistante au phishing devient la bonne cible dès que le niveau de risque monte.
Le vrai frein n'est donc pas technique. Le vrai frein est l'absence de priorisation. Quand tout le monde doit passer au MFA en même temps, les comptes vraiment critiques se retrouvent noyés dans le volume.
Les 4 questions qui évitent un faux projet MFA
Avant de lancer le sujet, il faut pouvoir répondre à quatre questions simples.
Quels comptes peuvent arrêter, exposer ou détourner l'activité
Messagerie de direction, comptes administrateurs, VPN, outils financiers, sauvegardes, support distant. Ce sont eux qui doivent passer en premier.
Qui peut réinitialiser ou contourner d'autres accès
Un compte qui peut recréer un mot de passe, déléguer des droits ou créer un accès temporaire vaut souvent plus qu'un compte utilisateur classique. C'est ce niveau de pouvoir qui détermine la priorité.
Que se passe-t-il si un utilisateur perd son téléphone demain matin
Le MFA mal cadré ralentit l'exploitation. Le MFA bien cadré protège sans bloquer. La différence tient dans la récupération, les comptes d'urgence et la procédure.
Quels accès critiques reposent encore sur un mot de passe seul
C'est souvent ici que se voient les angles morts. Un tenant cloud peut être protégé, mais pas le VPN, la console de sauvegarde, le portail fournisseur ou l'outil de prise en main à distance.
Ce qu'il faut comprendre avant d'activer le MFA partout
Le MFA ne protège pas tous les comptes avec la même valeur. Une boîte mail de direction, un compte administrateur Microsoft 365, un accès VPN ou une console de sauvegarde n'ont pas le même poids qu'un compte secondaire utilisé sur une application périphérique.
La bonne logique consiste à classer les accès selon trois critères simples.
Pouvoir d'administration
Plus un compte peut créer, modifier, déléguer ou réinitialiser d'autres accès, plus il doit passer en tête de liste. C'est le cas des comptes administrateurs Microsoft 365, des comptes super admin sur des outils cloud, des accès firewall, NAS, hyperviseur ou portail de sécurité.
Exposition Internet
Un compte utilisé depuis l'extérieur, sur une messagerie cloud, un VPN, un portail SaaS ou un accès distant, mérite un traitement prioritaire. La surface d'exposition est plus forte. Le gain du MFA est donc immédiat.
Impact métier
Un compte qui touche aux paiements, aux devis, à la paie, aux sauvegardes ou à la relation client concentre un risque opérationnel direct. Même avec peu de privilèges techniques, son impact reste élevé.
Quel type de MFA choisir
Tous les seconds facteurs ne se valent pas. Le bon choix dépend du niveau de sensibilité du compte, de la maturité de la structure et de la facilité de déploiement.
| Méthode | Niveau pratique pour TPE/PME | Usage conseillé |
|---|---|---|
| Application d'authentification | Bon équilibre sécurité / simplicité | Méthode standard pour la majorité des utilisateurs |
| SMS | Solution de transition | À réserver aux cas où rien d'autre n'est prêt |
| Clé physique FIDO2 | Très bon niveau sur comptes sensibles | Direction, comptes admin, accès critiques |
| Code par e-mail | Faible intérêt quand la messagerie est déjà la cible | À éviter comme méthode principale sur les comptes importants |
La logique la plus réaliste est simple. Application d'authentification pour le socle. Clé physique pour les comptes à privilèges ou à forte exposition. Le SMS peut aider à démarrer dans une petite structure, mais il ne doit pas devenir la cible finale sur les comptes qui comptent le plus.
Pour un décideur, l'arbitrage utile n'est pas entre une méthode moderne et une méthode à la mode. L'arbitrage utile est entre un déploiement compréhensible, adopté, et un dispositif théoriquement fort mais mal tenu dans le temps.
Où activer le MFA d'abord en TPE et PME
Un ordre simple permet de réduire le risque rapidement sans transformer le déploiement en chantier lourd.
Si vous devez arbitrer vite, retenez une règle simple : protégez en premier les comptes qui peuvent administrer, réinitialiser, payer ou restaurer.
Cette règle a un avantage très concret. Elle permet de faire baisser le risque sans transformer le MFA en chantier interminable. Dans les petites structures, cette capacité à prioriser vaut souvent plus qu'un plan parfait impossible à faire vivre.
1. Les comptes administrateurs
Le MFA doit commencer ici, sans discussion. Les comptes administrateurs permettent souvent de réinitialiser des mots de passe, de créer des comptes, de déléguer des droits et de contourner ensuite les protections restantes.
Microsoft rappelle dans sa documentation sur les security defaults que les comptes administrateurs doivent être protégés en priorité. Cette même documentation indique aussi que plus de 99,2 % des attaques d'identité courantes sont bloquées par l'usage du MFA et le blocage de l'authentification héritée, ce qui donne une base très concrète à la priorité accordée aux comptes à privilèges.
En pratique, cela couvre souvent :
- les comptes administrateurs Microsoft 365 et Entra ID
- les comptes d'administration du firewall
- les accès aux switchs, hyperviseurs et NAS
- les consoles de sauvegarde
- les comptes administrateurs des outils RMM, ticketing ou supervision
Pour ces comptes, une application d'authentification ou, mieux, une clé de sécurité physique quand c'est possible, donne un niveau de protection plus sérieux qu'un simple SMS.
Si vous ne savez pas encore combien de comptes administrateurs existent réellement, c'est déjà un signal faible. Avant de déployer, il faut cartographier les comptes à privilèges, les délégations et les accès qui permettent d'élever des droits.
Dans beaucoup d'environnements, cette cartographie fait remonter un autre problème : des comptes historiques, des délégations mal suivies, ou des accès techniques conservés sans revue. Le MFA réduit le risque, mais il révèle aussi la maturité réelle de la gouvernance des accès.
2. La messagerie et l'identité cloud
Dans une TPE ou une PME, la boîte mail reste souvent le point d'appui principal d'un attaquant. Celui qui contrôle la messagerie peut intercepter des échanges, lancer des fraudes au virement, réinitialiser d'autres accès et poser des règles de transfert discrètes.
Le MFA doit donc être activé très tôt sur :
- Microsoft 365
- Google Workspace
- les comptes de direction
- les comptes d'assistanat, comptabilité, ADV ou RH
Ce point mérite une attention particulière dans les petites structures. Une TPE fonctionne souvent avec peu de personnes clés. La compromission d'une seule messagerie peut alors désorganiser toute l'activité.
Si Microsoft 365 est au coeur de l'environnement, le sujet doit être traité sans attendre. Microsoft documente dans ses security defaults un socle de protection simple pour les organisations qui veulent démarrer vite, avec MFA et blocage de l'authentification héritée.
Sur ce bloc, une bonne pratique simple consiste à distinguer les comptes du quotidien et les comptes d'administration. Le même utilisateur peut avoir les deux, mais pas sous la même identité ni avec les mêmes usages.
3. Les accès distants et les portails exposés
Le troisième bloc concerne tout ce qui permet d'entrer dans le système d'information depuis l'extérieur. Là encore, le MFA apporte un effet immédiat.
Les priorités les plus classiques sont :
- VPN nomades
- accès RDP publiés ou protégés par passerelle
- portails de support
- outils de prise en main à distance
- extranet ou applications métiers accessibles sur Internet
Si une TPE ou une PME utilise encore des mécanismes anciens ou des protocoles hérités, le sujet ne se limite plus au MFA. Il faut aussi revoir l'exposition globale. Microsoft souligne d'ailleurs dans sa documentation sur les security defaults que l'authentification héritée contourne le MFA sur certains scénarios et doit être bloquée.
Un point pratique revient souvent sur le terrain. Si un accès distant est tellement critique qu'il doit rester disponible en toute circonstance, il doit aussi disposer d'une procédure de secours claire. Le MFA ne doit pas devenir un point de blocage faute de préparation. Il doit devenir un filtre supplémentaire dans un accès déjà bien cadré.
4. Les outils financiers, RH et données sensibles
Une petite structure peut encaisser un incident technique mineur. Elle encaisse beaucoup moins bien une fraude financière, une fuite de données RH ou une perte d'accès à ses contrats.
Après les comptes admin, la messagerie et les accès distants, le MFA doit donc couvrir :
- la banque et les outils de paiement
- les outils de paie
- la GED ou les coffres documentaires
- le CRM quand il contient des données clients sensibles
- les portails fournisseurs ou experts-comptables
Sur ce bloc, la priorité doit suivre le risque métier réel, pas seulement la facilité technique d'activation.
Dans beaucoup de petites entreprises, cette zone de risque est sous-estimée parce qu'elle n'appartient pas formellement à l'IT. Pourtant, une fraude au paiement ou une compromission de données RH a souvent un impact plus immédiat qu'un incident technique classique.
5. Les consoles de sauvegarde et de reprise
Ce sujet est souvent oublié alors qu'il devient critique le jour d'un incident majeur. Un attaquant qui compromet la console de sauvegarde ou le compte qui pilote la rétention peut dégrader fortement la capacité de reprise.
Dans une logique de continuité, le MFA doit protéger :
- les portails de sauvegarde cloud
- les consoles NAS ou réplication
- les outils de restauration et d'administration de la rétention
- les comptes liés aux exports ou aux suppressions de jeux de sauvegarde
Ce point prolonge directement la réflexion sur les sauvegardes fiables et le pilotage d'exploitation. Une politique MFA sérieuse n'a de valeur que si les accès capables d'effacer ou d'altérer la reprise sont eux aussi verrouillés.
6. Le reste des utilisateurs avec une méthode simple
Une fois les accès critiques couverts, le déploiement peut être étendu au reste des utilisateurs. La bonne approche en TPE et PME consiste à rester simple.
Une petite structure gagne souvent à démarrer avec :
- une application d'authentification standard
- une procédure d'enrôlement courte
- des codes de récupération stockés de manière maîtrisée
- un compte de secours clairement défini pour l'administration d'urgence
Quand l'environnement le permet, les politiques de type accès conditionnel affinent ensuite le dispositif. La documentation Microsoft sur Conditional Access va dans ce sens en combinant identité, contexte de connexion et exigence MFA selon les cas.
L'objectif à ce stade n'est pas de complexifier. L'objectif est d'obtenir un socle homogène, compris par les équipes et suffisamment robuste pour éviter que les comptes secondaires deviennent la nouvelle porte d'entrée.
Le meilleur déploiement n'est pas celui qui coche le plus de comptes le plus vite. C'est celui qui protège les bons comptes, tient dans le temps et reste compréhensible pour les utilisateurs comme pour l'exploitation.
Ce qu'une TPE peut faire la première semaine
Une TPE n'a pas besoin d'un projet lourd pour obtenir un résultat utile. Une première semaine bien cadrée peut déjà couvrir l'essentiel.
- Identifier les 5 à 10 comptes qui peuvent réinitialiser, payer, administrer ou restaurer.
- Activer le MFA sur Microsoft 365 ou Google Workspace pour la direction et l'administration.
- Activer le MFA sur le VPN, la banque, la sauvegarde et les accès de support distant.
- Distribuer et tester les méthodes de secours.
- Vérifier qu'aucun accès critique ne repose encore sur une authentification héritée.
Ce plan court suffit souvent à enlever les angles morts les plus dangereux. Le reste peut ensuite être industrialisé de manière plus confortable.
Ce qu'une PME doit cadrer en plus
Une PME a généralement plus d'applications, plus de délégations, plus de mobilité et plus d'exceptions. Le MFA doit donc s'accompagner d'un minimum de gouvernance.
- groupes de comptes par niveau de criticité
- comptes d'urgence séparés des comptes du quotidien
- procédure d'arrivée et de départ des utilisateurs
- revue des comptes partagés et des accès dormants
- documentation des méthodes de récupération
Le MFA fonctionne très bien en PME à condition de ne pas être traité comme un simple interrupteur technique. Il doit suivre la réalité des rôles, des accès et des dépendances.
Check-list de déploiement MFA
- identifier les comptes administrateurs et les comptes à fort impact métier
- vérifier quels services restent accessibles avec une authentification héritée
- choisir la méthode MFA par famille d'usage
- prévoir les comptes d'urgence et les procédures de récupération
- tester la perte de téléphone, le renouvellement d'équipement et le retour d'accès
- consigner qui valide, qui déploie et qui réinitialise en cas de blocage
Cette check-list paraît simple. C'est précisément ce qui la rend utile. Sur le terrain, les incidents de déploiement viennent rarement d'un problème de théorie. Ils viennent d'un détail non préparé.
Quand lancer un audit des accès et du MFA
Un audit court devient rentable très vite si l'un de ces signaux apparaît.
- personne ne sait lister clairement les comptes à privilèges
- la messagerie ou Microsoft 365 devient critique sans revue récente des accès
- le VPN, le support distant ou la sauvegarde restent administrables sans second facteur
- plusieurs comptes partagés ou techniques subsistent sans gouvernance claire
- un changement de prestataire ou d'organisation se prépare
Dans ce cas, ajouter du MFA sans clarifier les accès revient parfois à poser une bonne protection sur une cartographie encore floue. Le gain existe, mais il reste partiel. Une revue rapide permet de traiter le sujet dans le bon ordre.
Un ordre de déploiement qui tient la route
| Priorité | Comptes ou services | Pourquoi commencer ici |
|---|---|---|
| 1 | Comptes administrateurs | Pouvoir de contrôle maximal sur le SI |
| 2 | Messagerie et identité cloud | Point d'entrée fréquent pour phishing et rebond |
| 3 | VPN, accès distants, portails exposés | Exposition Internet directe |
| 4 | Banque, paie, RH, CRM sensible | Impact métier et financier immédiat |
| 5 | Sauvegardes et consoles de reprise | Protection de la capacité de restauration |
| 6 | Ensemble des utilisateurs | Généralisation du socle de sécurité |
Cet ordre évite l'erreur classique qui consiste à lancer une campagne large sur tous les utilisateurs alors que les comptes à privilèges ou les accès externes restent encore au mot de passe seul.
Une trajectoire réaliste pour les TPE et les PME
Une TPE n'a pas besoin d'un programme d'identité très sophistiqué pour obtenir un vrai gain. Elle a surtout besoin de couvrir vite les accès qui concentrent le plus de risque. En pratique, cela signifie souvent un premier lot réduit : direction, administration Microsoft 365, messageries clés, VPN et banque.
Une PME avec plusieurs équipes, un support interne ou des applications métiers plus nombreuses a besoin d'un cadrage plus structuré. Groupes d'utilisateurs, comptes de secours, règles d'exclusion minimales, méthodes de récupération et revue des accès hérités deviennent alors nécessaires.
Dans les deux cas, la même logique s'applique. Le MFA n'est pas un projet de conformité abstrait. C'est une mesure de réduction du risque qui doit suivre la carte réelle des dépendances.
Les erreurs classiques
Commencer par les comptes les moins sensibles
Le déploiement paraît plus facile, mais le risque baisse peu. Tant que les comptes administrateurs, la messagerie et les accès distants restent moins protégés, l'essentiel de l'exposition demeure.
Se contenter du SMS partout
Le SMS vaut mieux que l'absence de second facteur, surtout dans une TPE qui doit aller vite. Il ne constitue pas pour autant la meilleure cible sur les comptes sensibles. Une application d'authentification ou une méthode résistante au phishing apporte un niveau plus solide.
Oublier les comptes techniques et les consoles secondaires
Le tenant Microsoft 365 est parfois protégé, mais pas la sauvegarde, pas le RMM, pas le portail firewall, pas l'hyperviseur. Cette asymétrie laisse des accès critiques dans l'ombre.
Garder des comptes partagés sans gouvernance
Le MFA révèle souvent un problème plus ancien. Quand plusieurs personnes utilisent le même compte, la traçabilité se dégrade et l'enrôlement devient confus. Le sujet doit alors être traité à la racine.
Déployer sans procédure de récupération
Un utilisateur qui change de téléphone ou perd son second facteur doit pouvoir revenir rapidement sans créer une faille plus grave. Les codes de secours, le compte d'urgence et le processus de réinitialisation font partie du dispositif.
Croire que le MFA corrige une mauvaise hygiène des accès
Le MFA réduit fortement le risque de compromission par mot de passe seul. Il ne corrige ni un compte trop puissant, ni une délégation floue, ni un accès inutilement exposé. Les comptes dormants, les droits excessifs et les applications non maîtrisées restent des sujets à traiter.
Questions fréquentes sur le MFA en TPE et PME
Faut-il activer le MFA sur tous les comptes dès le premier jour
Non. Le plus efficace consiste à couvrir d'abord les comptes administrateurs, la messagerie, les accès distants, la finance et les sauvegardes. Cette séquence fait baisser le risque plus vite qu'un déploiement trop large mal préparé.
Le SMS suffit-il comme MFA
Le SMS vaut mieux qu'un mot de passe seul, surtout pour démarrer rapidement dans une petite structure. Pour les comptes sensibles, une application d'authentification ou une clé physique reste une meilleure cible.
Peut-on garder un compte sans MFA en secours
Un compte d'urgence peut exister, mais il doit être strictement encadré, très peu utilisé, fortement surveillé et documenté. Microsoft recommande d'ailleurs des comptes d'urgence dédiés dans ses recommandations d'administration, précisément pour éviter le blocage total en cas d'incident d'authentification.
Le MFA protège-t-il aussi contre le phishing
Il améliore nettement la protection, mais pas de manière identique selon la méthode choisie. Les méthodes résistantes au phishing offrent un niveau supérieur aux codes les plus simples. Le choix de la méthode compte donc presque autant que l'activation elle-même sur les comptes critiques.
Ce que cela change concrètement
Un MFA bien priorisé fait baisser le risque là où la perte d'un compte coûte vraiment cher. La direction garde mieux la main sur la messagerie, les accès distants deviennent moins faciles à détourner et les consoles critiques cessent de reposer sur un simple mot de passe.
Pour une TPE, cela apporte vite un socle rassurant sans lourdeur excessive. Pour une PME, cela améliore la tenue opérationnelle du SI et donne une base plus propre pour les sujets suivants : revue des comptes, audit, accès conditionnel, sauvegardes et supervision.
Le plus utile reste souvent de traiter le MFA comme un volet d'hygiène globale, au même titre qu'un audit informatique, qu'une politique d'exploitation plus structurée ou qu'un cadrage des systèmes et accès d'infrastructure. Quand les accès sensibles ne sont pas encore clairement cartographiés, un diagnostic permet d'aller plus vite et avec moins d'angles morts.
Si le sujet est encore flou dans votre structure, le plus rentable n'est pas de lancer une campagne MFA à l'aveugle. Le plus rentable est de cadrer les accès critiques, les comptes à privilèges et les exceptions, puis de déployer dans le bon ordre.
Quand cette lecture manque, l'entreprise croit parfois traiter un sujet d'authentification alors qu'elle traite en réalité un sujet de gouvernance des accès. C'est exactement pour cela qu'une approche terrain, priorisée et orientée exploitation produit de meilleurs résultats qu'un déploiement uniforme piloté uniquement par l'outil.
Sources
- ANSSI Guide d'hygiène informatique
- NIST SP 800-63B Digital Identity Guidelines
- Microsoft Learn Security defaults for Microsoft Entra ID
- Microsoft Learn Conditional Access overview
- CISA Turn on MFA
Sources
Accompagnement disponible sur ce sujet
Initial Infrastructures intervient sur l'ensemble de ces problématiques pour les PME et ETI. Un échange court permet d'identifier les priorités et le bon niveau d'intervention.