Le Blog

Les tracas numériques d’Éric – Épisode 6 : La deuxième serrure qui aurait tout changé (Activez la MFA)

Publié le 13/10/2025
Produits

Accueil / Blog / Produits / Les tracas numériques d’Éric – Épisode 6 : La deuxième serrure qui aurait tout changé (Activez la MFA)

Thème : Authentification multifacteur (MFA)

⏱️ Temps de lecture : 6 minutes | 🎯 Pour : PME belges, dirigeants, responsables IT | 🔒 Objectif : comprendre pourquoi un mot de passe seul ne suffit plus

Résumé de l’article :

Cet article explique l’importance de l’authentification multi-facteur (MFA) pour sécuriser les accès critiques des PME. Il présente un cas réel d’intrusion bancaire, détaille les différents types de MFA (app d’authentification, notifications push, clés physiques), explique où les activer en priorité, et propose un processus itératif et agile de mise en place. L’article souligne que la MFA transforme un mot de passe volé en simple inconvénient plutôt qu’en catastrophe, avec un ton axé sur l’excellence progressive plutôt que la perfection immédiate.

Mots-clés principaux : MFA, authentification multi-facteur, sécurité PME, TOTP, clés FIDO2, protection bancaire, cybersécurité

L’histoire : Un vendredi ordinaire qui aurait pu tourner au désastre

Eric, entrepreneur de transport routier, gère sa paie et ses finances en ligne comme des centaines de PME. Jusqu’à ce vendredi fatidique.

Un mail de sa banque le fait pâlir :

« Connexion suspecte à votre compte depuis un appareil inconnu ».

La banque a détecté des virements inhabituels sur les comptes professionnels d’Éric. L’accès s’est fait depuis l’étranger. En quelques minutes plusieurs milliers d’euros se sont volatilisés avant que la banque n’intervienne.

La raison ? Un membre de l’équipe a cliqué sur un lien de phishing. Son mot de passe était alors tombé aux mains de pirates.

Le pire ? Tout aurait pu être évité.
S’il avait activé l’authentification multifacteur (MFA), l’attaquant aurait été bloqué dès la première tentative.
Une simple confirmation sur son smartphone aurait suffi à lui sauver sa journée (et sa réputation !). Malheureusement, le compte bancaire ainsi que les accès administrateur n’étaient pas protégés par une authentification multi-facteur.

Le problème reste le même aujourd’hui dans des centaines de PME : un mot de passe, c’est une seule clé. Une seule clé, c’est plus facile à voler !

Ce qu’est le MFA : la double vérification qui change tout

Le Multi-Factor Authentication ajoute une seconde preuve d’identité à vos connexions sensibles, c’est une couche de sécurité supplémentaire. Même si un pirate obtient votre mot de passe, il lui manque toujours la deuxième preuve d’identité.

Ce que vous savez : votre mot de passe.
Ce que vous possédez : votre smartphone ou une clé de sécurité.
Ce que vous êtes : empreinte digitale, reconnaissance faciale, etc.

Les Différents Types de MFA

Application d’authentification (TOTP) Google Authenticator, Microsoft Authenticator et autres génèrent un code valable 30 secondes. Simple à mettre en place, gratuit et efficace pour la plupart des besoins.

Notification push Vous recevez une demande d’authentification directement sur votre téléphone. Un simple clic pour approuver. C’est le meilleur équilibre entre confort et sécurité pour les équipes.

Clés physiques (FIDO2/WebAuthn) Elles offrent la protection la plus robuste. Idéal pour les comptes sensibles et les administrateurs. Aucun code à mémoriser, impossible à phisher.

SMS ou appel vocal Mieux que rien, mais plus vulnérable. À réserver pour les cas où les autres options ne sont pas disponibles.

💡 Selon Microsoft, 99,9 % des tentatives de piratage de comptes sont bloquées lorsqu’un MFA est activé.

Où activer la MFA en priorité

Pour maximiser votre sécurité avec agilité, concentrez-vous d’abord sur vos accès critiques :

Emails professionnels (Microsoft 365, Google Workspace, etc.)
Accès administrateur (serveurs, hébergement, panneaux de contrôle, ERP)
Interfaces bancaires et systèmes de paiement
VPN, accès RDP et SSH
Plateformes cloud (Dropbox, AWS, bases de données, stockage cloud)
CRM et systèmes métier contenant des données sensibles

Mettre en place la MFA : un processus itératif

Phase 1 : audit et priorités

Listez vos comptes critiques. Identifiez qui y accède et comment. Cette étape crée une vision claire de vos risques.

Phase 2 : activation progressive

Ne cherchez pas la perfection immédiate. Commencez par vos trois accès les plus sensibles. Testez, apprenez, améliorez. Cette approche agile évite les blocages opérationnels.

Phase 3 : codes de secours et procédures

Générez les codes de récupération pour chaque compte. Stockez-les en lieu sûr — coffre physique, document chiffré, gestionnaire de secrets fiables. Documentez le processus de récupération en cas de perte de téléphone.

Phase 4 : formation et documentation

Votre équipe doit comprendre comment valider une demande push, reconnaître une tentative de phishing et que faire en cas de problème. Des mini-formations courtes sont plus efficaces qu’une formation unique.

Phase 5 : vérification continue

Assurez-vous que les comptes de service ou machine n’utilisent pas de mots de passe partagés. Ne stockez pas vos mots de passe ou clés sensibles « en clair » dans le code, un fichier ou un post-it numérique ➜ Utilisez des jetons temporaires (ou Token) et des coffres-forts numériques qui gèrent la sécurité à votre place.

Un mot de passe classique = une clé fixe copiée à l’infini (facile à voler).
Un token = une clé temporaire à usage limité (change souvent, inutilisable ailleurs).
Un secret manager = un coffre-fort qui garde ces clés et les donne aux bonnes personnes au bon moment.

La métaphore de la double serrure

Imaginez votre porte d’entrée professionnelle :

Le mot de passe = la première clé
La MFA = la deuxième serrure

Si un voleur trouve une clé copiée, il entre facilement s’il n’y a qu’une serrure. Avec deux serrures, il s’arrête devant la porte, découragé. Le coût du temps et du risque devient trop élevé pour lui.

Erreurs courantes à éviter

Compter uniquement sur les SMS pour les comptes sensibles
Les numéros peuvent être détournés. Pour l’administration et la banque, préférez une app ou une clé physique.

Oublier les codes de secours
Sans procédure de récupération, la perte de votre téléphone peut vous enfermer dehors. C’est une faiblesse opérationnelle majeure.

Laisser la MFA « pour plus tard »
C’est souvent cette attente qui coûte le plus cher.

Partager les codes MFA sur des canaux non sécurisés
Email, Slack, WhatsApp — aucun de ces canaux ne devrait véhiculer vos codes ou codes de secours.

Oublier les prestataires et services externes
Vos fournisseurs d’hébergement, de CRM, d’analytique — tous ces comptes connectés à votre écosystème doivent aussi être protégés.

Ce qu’Éric aurait évité

Avec la MFA activée sur l’accès bancaire et les comptes administrateur :

L’intrusion aurait été bloquée même avec le mot de passe volé
Les virements auraient été stoppés à la source
La confiance aurait été préservée — pas de remue-ménage opérationnel
La sérénité serait restée — pas de nuit blanche de crise

Votre mission cette semaine

Niveau Débutant : activez la MFA sur votre boîte email professionnelle. Vous pouvez le faire en moins de 10 minutes et gagner immédiatement en sécurité.

Niveau Intermédiaire : activez la MFA sur vos trois accès les plus critiques (banque, cloud, administrateur). Générez et sécurisez vos codes de secours.

Niveau Expert : implémentez une politique MFA obligatoire pour tous les administrateurs. Explorez les clés physiques pour les comptes sensibles. Documentez vos procédures de récupération.

À retenir

La MFA n’est pas une option de luxe — c’est une fondation. Elle transforme un mot de passe volé en simple inconvénient plutôt qu’en catastrophe opérationnelle.

L’excellence n’est pas dans la perfection immédiate, elle est dans l’agilité à progresser. Commencez maintenant, améliorez continuellement.

Votre première serrure (mot de passe) n’a jamais été suffisante. Installez la deuxième.

Uniwan vous accompagne dans la cybersécurité de votre PME belge

Vous êtes une entreprise en Wallonie ou en Belgique ? Uniwan, expert en infrastructure IT et cybersécurité pour PME, vous accompagne dans la sécurisation de vos accès informatiques :

✅ Audit de sécurité gratuit de vos mots de passe et accès
✅ Installation et configuration de gestionnaires pour votre équipe
✅ Formation cybersécurité adaptée aux PME wallonnes
✅ Support technique en français et accompagnement continu
✅ Solutions conformes NIS2 et RGPD pour entreprises belges

📞 Contactez nos experts en cybersécurité →

La semaine prochaine : Le vigile absent à l’entrée .

La deuxième serrure est en place. Mais si votre réseau n’a pas de mur, un pirate peut toujours chercher une autre fenêtre.

👉 Rendez-vous la semaine prochaine dans l’épisode 7 pour découvrir pourquoi un firewall moderne est le vigile qu’il vous faut.

📚 Ressources complémentaires pour PME belges

Centre pour la Cybersécurité Belgique (CCB) : https://ccb.belgium.be
Digital Wallonia – Cybersécurité : ressources pour entreprises wallonnes
Votre e-mail a-t-il été compromis ? Vérifiez-le ici : https://haveibeenpwned.com
Guide RGPD pour PME : https://www.autoriteprotectiondonnees.be