Imposer la MFA et passer aux clés d'accès : bonnes pratiques

Cette page a été traduite automatiquement. Consultez la version originale en anglais ici.

Livre blanc Passkey entreprise. Conseils pratiques, modèles de déploiement et KPIs pour les programmes passkeys.

Points clés

Les obligations de MFA exposent des échecs de récupération, des frictions pour les utilisateurs et des vulnérabilités au phishing que les clés d'accès résolvent grâce à des identifiants synchronisés satisfaisant aux exigences multifacteurs d'un seul geste biométrique.
La récupération de compte est le principal fardeau des obligations de MFA : les réinitialisations par le service d'assistance coûtent en moyenne 70 dollars US chacune, et Gartner estime que 30 à 50 % de tous les appels d'assistance informatique sont déjà liés aux mots de passe.
La préférence pour les OTP par SMS crée un théâtre de conformité : plus de 95 % des utilisateurs choisissent les SMS lorsqu'on leur offre le choix, exposant les organisations à l'échange de carte SIM et au phishing malgré une conformité MFA nominale.
La synchronisation des clés d'accès élimine les blocages dus à la perte d'appareils et supprime simultanément les coûts liés aux OTP par SMS : les clés d'accès se restaurent automatiquement sur un nouvel appareil, tandis que la liaison à l'origine (origin-binding) les rend immunisées contre le phishing par conception.

1. Introduction : la nouvelle réalité de la MFA obligatoire#

L'authentification multifacteur (MFA) est résolument passée du statut de fonctionnalité de sécurité pour les utilisateurs proactifs à une réalité obligatoire et non négociable pour les organisations du monde entier. Cette transformation n'est pas dictée par un choix mais par une nécessité, alimentée par des cyberattaques incessantes basées sur les identifiants et par une pression réglementaire croissante. Des secteurs allant des services financiers au secteur public fonctionnent désormais sous des cadres qui font de la MFA une exigence de base pour la conformité. Cette nouvelle ère, où la MFA est imposée plutôt que proposée, introduit une cascade de défis complexes qui s'étendent bien au-delà de la mise en œuvre technique initiale.

Lorsque chaque utilisateur doit utiliser la MFA, un nouvel ensemble de questions critiques émerge auxquelles chaque organisation doit répondre. Cet article explorera ces défis en profondeur, offrant une voie claire à suivre. Nous aborderons :

Quels sont les coûts opérationnels cachés et les écueils en matière d'expérience utilisateur liés à l'application de la MFA à grande échelle ?
Lorsqu'ils ont le choix, quelles méthodes de MFA les utilisateurs adoptent-ils réellement, et quels risques de sécurité cela crée-t-il ?
Comment la récupération de compte devient-elle le nouveau défi principal dans un environnement obligatoire, et quels sont les compromis pour y remédier ?
Pourquoi les clés d'accès sont-elles la solution stratégique aux problèmes mêmes créés par les obligations de MFA, et non pas simplement une option supplémentaire ?
Quel est le plan d'action pratique, étape par étape, pour réussir la transition d'une MFA traditionnelle obligatoire vers la sécurité et l'expérience utilisateur supérieures des clés d'accès ?

Cette analyse fournira un plan d'action clair et réalisable pour une transition réussie d'une authentification à un seul facteur vers une MFA obligatoire (vers des clés d'accès obligatoires).

Articles récents

2. Le changement en matière de sécurité : comprendre le contexte de la MFA obligatoire#

Avant d'explorer les défis liés à son application, il est crucial d'établir une compréhension claire du paysage de l'authentification et de la raison pour laquelle les obligations le modifient fondamentalement. La terminologie elle-même peut être source de confusion, mais les distinctions sont essentielles pour toute stratégie de sécurité ou de produit.

2.1 Un petit rappel : SFA, 2SV et véritable MFA#

L'évolution de l'authentification est une réponse directe à la faiblesse inhérente de sa forme la plus élémentaire.

L'authentification à un seul facteur (SFA) : La combinaison familière du nom d'utilisateur et du mot de passe. Elle repose sur un seul facteur de « connaissance », quelque chose que l'utilisateur connaît. Sa vulnérabilité au phishing, au bourrage d'identifiants et aux attaques par force brute est le principal moteur du passage à des méthodes plus fortes.
La vérification en deux étapes (2SV) : Souvent utilisée de manière interchangeable avec la MFA, la 2SV est un processus distinct et plus faible. Elle nécessite deux étapes de vérification, mais peut utiliser deux facteurs de la même catégorie. Un exemple courant est un mot de passe suivi d'une question de sécurité, qui sont tous deux des facteurs de « connaissance ». Bien que meilleure que la SFA, elle ne répond pas aux critères d'une véritable sécurité multifacteur.
L'authentification multifacteur (MFA) : La référence en matière de sécurité, la MFA nécessite une vérification à partir d'au moins deux catégories différentes de facteurs d'authentification. Les trois catégories principales sont :
- La connaissance : Quelque chose que l'utilisateur connaît (par ex., un mot de passe, un code PIN).
- La possession : Quelque chose que l'utilisateur possède (par ex., un téléphone mobile recevant un code, une clé de sécurité matérielle).
- L'inhérence : Ce que l'utilisateur est (par ex., une empreinte digitale, la reconnaissance faciale).

2.2 Pourquoi les obligations changent tout#

Le passage d'une MFA facultative à une MFA obligatoire constitue un changement de paradigme. Un système facultatif permet une adoption progressive par les utilisateurs les plus soucieux de leur sécurité, masquant ainsi les véritables points de friction. Une obligation force l'ensemble de la base d'utilisateurs, des plus technophiles aux plus réticents à la technologie, à utiliser le nouveau système simultanément, exposant ainsi chaque faille de l'expérience utilisateur et de la structure d'assistance.

Ce changement a été accéléré par des catalyseurs réglementaires dans le monde entier. Notamment, la deuxième directive européenne sur les services de paiement (DSP2) et son exigence d'authentification forte du client (SCA) ont fondamentalement remodelé le paysage européen des paiements en rendant la MFA obligatoire pour la plupart des transactions en ligne. En forçant les institutions financières à adopter des API ouvertes et une sécurité renforcée, la DSP2 fournit une étude de cas massive et réelle d'authentification forcée.

L'objectif principal de la SCA était de réduire la fraude en exigeant deux facteurs d'authentification indépendants pour les paiements électroniques. Cependant, le déploiement initial a créé des frictions importantes, certains commerçants européens perdant près de 40 % des transactions en raison de la confusion des utilisateurs et de l'abandon du panier d'achat. Au fil du temps, l'écosystème s'est adapté, et un rapport de la Banque centrale européenne datant d'août 2024 a confirmé que les transactions authentifiées par la SCA ont désormais des taux de fraude nettement inférieurs. Cela démontre les avantages à long terme en matière de sécurité, mais souligne également la nécessité cruciale de trouver un équilibre entre sécurité et expérience utilisateur.

Une dynamique réglementaire similaire se met en place à l'échelle mondiale. En Australie, le secteur financier opère sous le cadre CPS 234 de l'Australian Prudential Regulation Authority, qui fixe des normes de sécurité pour les institutions financières. À la suite d'une vague d'attaques par bourrage d'identifiants début 2025, l'APRA a écrit à tous les conseils d'administration des fonds de pension, s'attendant explicitement à ce qu'ils mettent en œuvre la MFA ou des protections équivalentes pour les activités à haut risque. Le régulateur a noté qu'environ 20 % des incidents informatiques dans le secteur financier australien étaient des attaques de bourrage d'identifiants, faisant de la MFA un contrôle critique. Par ailleurs, le secteur des télécommunications en Australie est confronté à l'obligation de la MFA pour toutes les transactions clients à haut risque en vertu de la détermination de l'Australian Communications and Media Authority relative à l'authentification de l'identité des clients de 2022. Cette règle oblige les opérateurs à utiliser la MFA pour les échanges de carte SIM, les réinitialisations de mot de passe et les ajouts de services, à la suite de cas très médiatisés de fraude par échange de carte SIM.

Bien que ces obligations créent initialement des frictions, elles produisent également un environnement d'éducation de masse involontaire. Lorsque des millions d'utilisateurs sont contraints par leur banque d'approuver une transaction avec une empreinte digitale ou un code, ils se familiarisent avec le concept d'un second facteur. Cette normalisation, motivée par la réglementation, facilite paradoxalement la voie pour d'autres organisations. La conversation peut évoluer de « Qu'est-ce que la MFA et pourquoi en ai-je besoin ? » à « Voici notre nouvelle façon, plus simple, d'effectuer l'étape de sécurité que vous connaissez déjà. » Cela crée la base parfaite pour introduire une expérience supérieure comme les clés d'accès.

Si vous souhaitez en savoir plus sur les spécificités de ces réglementations et leur relation avec les clés d'accès, vous pouvez explorer ces ressources :

Analyse des exigences de la DSP2 et de la SCA
Ce que les exigences de la SCA signifient pour les clés d'accès
Les clés d'accès DSP2 : une MFA résistante au phishing et conforme à la DSP2
Implications de la DSP3 / du RSP pour les clés d'accès
L'authentification déléguée et les clés d'accès en vertu de la DSP3 / du RSP

2.3 Lorsque les failles de sécurité forcent l'action : les obligations post-incident#

Alors que les cadres réglementaires favorisent l'adoption proactive de la MFA, les incidents de sécurité déclenchent souvent les obligations les plus urgentes et les plus visibles. Lorsqu'une organisation subit une faille, la voie vers la MFA obligatoire ne relève plus de la planification de la conformité, mais d'une réponse de crise immédiate.

Le secteur des fonds de pension australien en a fait l'expérience de manière brutale en mars 2025. Lors d'une campagne sophistiquée de bourrage d'identifiants, des cybercriminels ont utilisé des combinaisons de noms d'utilisateur et de mots de passe volées lors de fuites de données externes pour attaquer systématiquement les comptes des fonds de retraite. Selon des rapports de Reuters et d'ABC News, AustralianSuper, le plus grand fonds du pays avec plus de 3 millions de membres, a confirmé que les attaquants avaient accédé à près de 600 comptes de membres et réussi à vider 500 000 dollars australiens des soldes de quatre membres avant que l'attaque ne soit détectée. L'incident s'est propagé sur plusieurs fonds, Rest Super ayant détecté une activité suspecte sur environ 20 000 comptes et Insignia Financial signalant des tentatives sur environ 100 comptes.

Le vecteur d'attaque était un bourrage d'identifiants classique : des tentatives de connexion automatisées utilisant des identifiants récoltés lors de fuites de données sans lien avec ces services. Les experts en sécurité interrogés par ABC News ont qualifié l'attaque de « peu sophistiquée », soulignant que son succès était entièrement attribuable à l'absence de MFA. À titre de contraste frappant, HostPlus, un autre grand fonds, a signalé aucune perte financière de la même campagne précisément parce qu'il avait déjà mis en œuvre la MFA pour les comptes des membres. Cette comparaison dans le monde réel a fourni une preuve sans ambiguïté de la valeur protectrice de la MFA.

Avant la faille, les clients d'AustralianSuper avaient explicitement demandé la MFA comme option de sécurité, mais avaient été informés qu'elle n'était pas disponible. À la suite de l'incident, le fonds a immédiatement verrouillé les comptes affectés et accéléré le déploiement de la MFA. La lettre ultérieure de l'APRA à tous les présidents des conseils d'administration des fonds de pension a clairement défini les attentes réglementaires : la mise en œuvre de la MFA était désormais une obligation urgente, et non une considération future.

Les obligations post-faille découlent également de campagnes de phishing qui compromettent les identifiants de l'organisation. En mars 2020, Service NSW, un portail de services du gouvernement de l'État, a subi une attaque de phishing qui a exposé 736 Go de données, compromettant les informations personnelles d'environ 103 000 clients. Les enquêteurs ont identifié l'absence de MFA sur les comptes de messagerie du personnel comme un facteur clé de la gravité de la faille. En réponse, Service NSW a mis en œuvre la MFA sur l'ensemble des systèmes de messagerie externes et, en août 2021, l'avait activée sur 95 % des systèmes orientés vers l'extérieur, soutenue par un investissement en sécurité de 5 millions de dollars australiens. À la suite de la fuite de données distincte de l'opérateur de télécommunications Optus en 2022, Service NSW a étendu encore plus ses efforts, en testant puis en rendant la MFA obligatoire pour tous les titulaires de compte MyServiceNSW d'ici 2026.

Ces incidents illustrent un modèle critique : les failles créent une pression politique et opérationnelle qui contourne les cycles de planification progressive typiques de la conformité proactive. La question passe de « Devons-nous imposer la MFA ? » à « À quelle vitesse pouvons-nous la déployer ? ». Ce calendrier compressé exacerbe souvent les problèmes d'expérience utilisateur et opérationnels abordés plus loin dans cet article, rendant le choix de la méthode MFA et la conception de son déploiement d'autant plus conséquents.

3. Les complexités cachées : ce que l'obligation de la MFA signifie dans la pratique#

L'application de la MFA à l'ensemble d'une base d'utilisateurs met en évidence une foule de défis pratiques qui sont souvent sous-estimés lors de la planification initiale. Ces problèmes ont un impact sur l'expérience utilisateur, le niveau de sécurité et les coûts opérationnels.

3.1 L'obstacle de l'intégration : l'inscription à grande échelle#

Lorsque l'inscription est obligatoire, une mauvaise expérience utilisateur n'est plus seulement une gêne ; elle devient un obstacle direct aux opérations commerciales. Les organisations choisissent généralement entre deux stratégies : l'inscription forcée, qui exige la configuration de la MFA lors de la prochaine connexion, ou l'inscription progressive, qui invite les utilisateurs à le faire au fil du temps. Bien que l'inscription forcée permette d'atteindre la conformité plus rapidement, elle risque de provoquer une plus grande frustration et un plus fort taux d'abandon chez les utilisateurs si le processus n'est pas fluide. Le succès repose sur le respect des meilleures pratiques en matière d'expérience utilisateur (UX), comme offrir plusieurs méthodes d'authentification, fournir des instructions très claires et garantir l'accessibilité pour tous les utilisateurs, par exemple en fournissant une clé secrète textuelle en plus d'un code QR pour les applications d'authentification.

3.2 Le cauchemar de la récupération : le nouveau problème d'assistance numéro 1#

Une fois la MFA active sur un compte, perdre un second facteur signifie être complètement bloqué. Dans un monde où cela est obligatoire, ce n'est pas un incident isolé pour quelques utilisateurs soucieux de la sécurité ; cela devient un défi généralisé et critique pour l'ensemble de la base d'utilisateurs et pour les équipes d'assistance qui les servent. Cela fait de la récupération de compte le plus grand défi.

Les enjeux financiers sont élevés : une seule réinitialisation de mot de passe ou de MFA gérée par le service d'assistance peut coûter à une entreprise une moyenne de 70 dollars US. Pour une organisation comptant des centaines de milliers d'utilisateurs, même un faible pourcentage nécessitant une récupération peut se traduire par des millions de dollars de coûts opérationnels et de perte de productivité.

Les organisations se retrouvent face à un difficile compromis entre sécurité, coût et commodité :

La récupération gérée par le service d'assistance : Un agent d'assistance peut vérifier l'identité de l'utilisateur lors d'un appel vidéo ou par d'autres moyens. C'est un processus sécurisé et vérifié par un humain, mais il est d'un coût prohibitif et difficile à faire évoluer, ce qui le rend insoutenable pour la plupart des entreprises.
La récupération basée sur l'e-mail/SMS : C'est la méthode la plus courante en raison de son faible coût et de la familiarité des utilisateurs. Cependant, c'est aussi une vulnérabilité de sécurité critique. Si un attaquant a déjà compromis le compte de messagerie d'un utilisateur, ce qui est souvent le prélude à d'autres attaques, il peut facilement intercepter le code de récupération et contourner entièrement la MFA. Cette méthode annule de fait les avantages en matière de sécurité que l'obligation était censée apporter.
Les codes de secours pré-inscrits : Les utilisateurs reçoivent un ensemble de codes de secours à usage unique lors de l'inscription. Bien qu'elle soit plus sécurisée que la récupération par e-mail, cette approche ajoute des frictions à la configuration initiale. De plus, les utilisateurs omettent souvent de stocker ces codes de manière sécurisée ou les perdent, ce qui les ramène en fin de compte au même problème de blocage.
La vérification d'identité par selfie : Cette méthode de haute assurance exige de l'utilisateur qu'il prenne un selfie en direct et une photo d'une pièce d'identité officielle (comme un permis de conduire ou un passeport). Des systèmes alimentés par l'IA font ensuite correspondre le visage à la pièce d'identité pour confirmer l'identité. Bien que courante dans le secteur bancaire et les services financiers où l'identité est vérifiée lors de l'intégration, elle soulève des préoccupations en matière de confidentialité pour certains utilisateurs et nécessite qu'ils aient leur pièce d'identité physique à portée de main.
Les identifiants et portefeuilles numériques : Une option émergente et tournée vers l'avenir implique l'utilisation d'identifiants numériques vérifiables stockés dans un portefeuille numérique. Un utilisateur pourrait présenter un identifiant provenant d'un émetteur de confiance (comme un gouvernement ou une banque) pour prouver son identité sans passer par un flux de récupération spécifique au service. Cette méthode en est encore à ses débuts, mais pointe vers un avenir où la vérification d'identité sera plus portable et contrôlée par l'utilisateur.

3.3 Le problème du cycle de vie des appareils : nouveaux téléphones, perte d'accès#

Un point de défaillance fréquent et critique dans tout système MFA est le cycle de vie de l'appareil. Lorsqu'un utilisateur obtient un nouveau téléphone, la continuité de sa méthode d'authentification est primordiale.

Les SMS : Cette méthode est relativement portable, car un numéro de téléphone peut être transféré vers un nouvel appareil via une nouvelle carte SIM. Cependant, c'est précisément ce processus qui constitue le vecteur d'attaque exploité lors des attaques par échange de carte SIM, où un fraudeur convainc un opérateur mobile de porter le numéro de la victime vers une carte SIM qu'il contrôle.
Les applications d'authentification (TOTP) : C'est une source majeure de friction pour les utilisateurs. À moins que l'utilisateur n'ait activé de manière proactive une fonctionnalité de sauvegarde cloud au sein de son application d'authentification (une fonctionnalité qui n'est pas universelle et pas toujours utilisée), les clés secrètes qui génèrent les codes sont perdues avec l'ancien appareil. Cela contraint l'utilisateur à un processus complet, et souvent pénible, de récupération de compte pour chaque service qu'il avait sécurisé.
Les notifications push : Semblable aux applications TOTP, la MFA basée sur les push est liée à une installation d'application spécifique sur un appareil enregistré. Un nouveau téléphone nécessite une nouvelle inscription, déclenchant les mêmes défis de récupération.

3.4 Le paradoxe de la préférence de l'utilisateur : la voie de la moindre résistance#

Lorsqu'une organisation impose la MFA et offre un choix de méthodes, un modèle prévisible émerge : plus de 95 % des utilisateurs gravitent vers ce qui est le plus familier et perçu comme le plus facile, à savoir souvent les mots de passe à usage unique (OTP) basés sur les SMS. Ce comportement crée un paradoxe. Un CISO peut imposer la MFA pour améliorer la sécurité. Cependant, si de nombreux utilisateurs continuent de s'appuyer sur une méthode vulnérable au phishing comme les SMS, l'organisation peut atteindre 100 % de conformité sans améliorer matériellement ses défenses contre les attaques sophistiquées.

Les failles des fonds de pension australiens de mars 2025 ont fourni des preuves flagrantes et concrètes de ce problème. Dans cet incident, l'absence de toute MFA a été la vulnérabilité décisive. Cependant, la leçon plus large s'étend au-delà de la binarité « MFA ou pas de MFA » pour s'intéresser à la qualité de la MFA déployée. Les organisations qui n'offrent que la MFA basée sur les SMS comme option principale ou unique restent vulnérables au phishing, à l'ingénierie sociale et aux attaques par échange de carte SIM. Les attaquants dans le cas australien ont exploité des identifiants faibles ; si ces comptes n'avaient été « protégés » que par des OTP par SMS, les attaquants ayant accès à des comptes de messagerie compromis auraient potentiellement pu intercepter les flux de réinitialisation de mot de passe et déclencher des échanges de carte SIM pour contourner également ce facteur.

Reconnaissant cela, des plateformes comme Microsoft ont introduit la « MFA préférée par le système », qui incite activement les utilisateurs à utiliser des options plus sécurisées comme les applications d'authentification au lieu des appels vocaux ou des SMS. Cela souligne une leçon essentielle : imposer simplement la MFA est insuffisant. Le type de MFA est d'une importance capitale, et les organisations doivent activement détourner les utilisateurs des facteurs plus faibles et susceptibles d'être hameçonnés.

3.5 Le coût opérationnel : le service d'assistance en état de siège#

La décision d'imposer la MFA a un impact direct et mesurable sur les ressources opérationnelles. Elle déclenche inévitablement une augmentation des tickets d'assistance liés aux problèmes d'inscription, aux authentificateurs perdus et aux demandes de récupération. Les recherches de Gartner indiquent que 30 à 50 % de tous les appels d'assistance informatique concernent déjà des problèmes liés aux mots de passe ; la MFA obligatoire, surtout lorsqu'elle est associée à des flux de récupération fastidieux, exacerbe considérablement ce fardeau. Cela se traduit par des coûts directs que les CTO et les chefs de projet doivent anticiper. De plus, le service d'assistance lui-même devient une cible de choix pour les attaques d'ingénierie sociale, où les attaquants se font passer pour des utilisateurs frustrés et bloqués afin de tromper les agents d'assistance pour qu'ils réinitialisent les facteurs MFA à leur place.

4. Les leçons clés des obligations de MFA à grande échelle#

L'examen des déploiements réels à grande échelle de la MFA obligatoire fournit de précieuses leçons sur ce qui fonctionne et sur ce qui crée des frictions importantes. En analysant les expériences tirées à la fois des déploiements réglementaires proactifs comme la DSP2 en Europe et des obligations réactives consécutives à une faille dans le secteur financier australien, nous pouvons dégager plusieurs vérités universelles.

La friction initiale est inévitable, mais gérable : Le déploiement de la SCA en Europe a démontré que forcer un changement majeur dans le comportement des utilisateurs, même pour des raisons de sécurité, nuirait initialement aux taux de conversion. Cependant, il a également montré qu'avec des processus affinés et l'habituation des utilisateurs, ces effets négatifs peuvent être atténués au fil du temps. La clé est d'anticiper cette friction et de concevoir dès le départ le flux le plus rationalisé et le plus convivial possible.
Le choix de l'utilisateur est une arme à double tranchant : Lorsqu'on leur donne des options, les utilisateurs choisissent systématiquement la voie de la moindre résistance, ce qui signifie souvent sélectionner des méthodes de MFA familières mais moins sécurisées comme les SMS. Cela conduit à un état de « théâtre de conformité », où l'organisation respecte la lettre de l'obligation mais pas son esprit, restant vulnérable au phishing. Les attaques de fonds de pension australiens de mars 2025 ont démontré ce principe à l'envers : les organisations sans aucune MFA ont subi des pertes importantes, tandis que celles ayant même une MFA de base en place (comme HostPlus) ont empêché le vol financier. Cependant, la leçon va plus loin ; les implémentations faibles de MFA basées uniquement sur les SMS restent vulnérables face à des attaquants déterminés qui peuvent exploiter les échanges de carte SIM et l'ingénierie sociale. Une stratégie réussie doit activement guider les utilisateurs vers des options plus fortes et résistantes au phishing.
La récupération devient le talon d'Achille : Dans un monde d'obligations, la récupération de compte passe d'un cas particulier à une charge opérationnelle principale et à une vulnérabilité de sécurité critique. S'appuyer sur les e-mails ou les SMS pour la récupération compromet l'ensemble du modèle de sécurité, tandis que la récupération gérée par le service d'assistance est financièrement insoutenable. Un processus de récupération robuste, sécurisé et convivial n'est pas une réflexion après coup ; c'est une exigence fondamentale pour tout mandat réussi.
Les obligations post-faille compressent les délais et amplifient les risques : Lorsque les obligations sont déclenchées par un incident de sécurité plutôt que par une initiative de conformité planifiée, le délai de mise en œuvre est considérablement compressé. Le secteur des fonds de pension australien est passé de « clients demandant la MFA » à « régulateurs s'attendant à un déploiement immédiat » dans les semaines suivant la faille. Ce délai accéléré laisse moins de place aux tests utilisateurs, aux déploiements par étapes et aux améliorations itératives, rendant le choix de la technologie et de la conception de l'expérience utilisateur encore plus critiques. Les organisations qui mettent en œuvre la MFA de manière proactive avant une faille ont le luxe d'une planification minutieuse ; celles qui sont contraintes de réagir après un incident ne l'ont pas.
Les déploiements par étapes réduisent considérablement les risques : Tenter un déploiement « big bang » auprès de l'ensemble d'une base d'utilisateurs est une stratégie à haut risque. Une approche plus prudente, éprouvée dans les grands déploiements en entreprise, consiste à tester d'abord le nouveau système auprès de groupes d'utilisateurs restreints et non critiques. Cela permet à l'équipe de projet d'identifier et de résoudre les bogues, d'affiner l'expérience utilisateur et de recueillir des commentaires dans un environnement contrôlé avant un déploiement à grande échelle.
Une plateforme d'identité centralisée est un puissant facilitateur : Les organisations dotées d'une plateforme centralisée préexistante de gestion des identités et des accès (IAM) ou d'authentification unique (SSO) sont bien mieux positionnées pour un déploiement en douceur. Un système d'identité centralisé permet l'application rapide et cohérente des nouvelles politiques d'authentification sur des centaines ou des milliers d'applications, réduisant considérablement la complexité et le coût du projet.

Abonnez-vous à notre Substack passkeys pour les dernières actualités.

5. L'étape suivante inévitable : pourquoi les clés d'accès résolvent le problème des obligations#

Les clés d'accès, fondées sur le standard WebAuthn de l'Alliance FIDO, ne sont pas seulement une amélioration progressive de la MFA traditionnelle. Leur architecture sous-jacente, basée sur la cryptographie à clé publique, est conçue pour résoudre les problèmes les plus douloureux et les plus persistants créés par les obligations de MFA.

Résoudre le cauchemar de la récupération : Le défi majeur de la MFA obligatoire est la récupération de compte. Les clés d'accès s'attaquent à ce problème de front. Une clé d'accès est un identifiant cryptographique qui peut être synchronisé sur tous les appareils d'un utilisateur via l'écosystème de sa plateforme (comme le trousseau iCloud d'Apple ou le gestionnaire de mots de passe de Google). Si un utilisateur perd son téléphone, la clé d'accès est toujours disponible sur son ordinateur portable ou sa tablette. Cela réduit considérablement la fréquence des blocages et diminue la dépendance à des canaux de récupération non sécurisés comme les e-mails ou les interventions coûteuses du service d'assistance.
Résoudre le problème du cycle de vie des appareils : Parce que les clés d'accès sont synchronisées, l'expérience d'obtention d'un nouvel appareil passe d'un point de forte friction à une transition fluide. Lorsqu'un utilisateur se connecte à son compte Google ou Apple sur un nouveau téléphone, ses clés d'accès sont automatiquement restaurées et prêtes à être utilisées. Cela élimine le processus de réinscription fastidieux, application par application, requis par les applications d'authentification traditionnelles liées à l'appareil.
Résoudre le paradoxe de la préférence de l'utilisateur : Les clés d'accès résolvent le compromis classique entre sécurité et commodité. La méthode d'authentification la plus sécurisée disponible, la cryptographie à clé publique résistante au phishing, est également la plus rapide et la plus simple pour l'utilisateur. Un seul geste biométrique ou le code PIN de l'appareil est tout ce qui est requis. L'utilisateur n'est pas incité à choisir une option plus faible et moins sécurisée, car l'option la plus forte est aussi la plus pratique.
Résoudre la vulnérabilité au phishing : Les clés d'accès sont résistantes au phishing par conception. La paire de clés cryptographiques créée lors de l'enregistrement est liée à l'origine spécifique du site web ou de l'application (par ex., corbado.com). Un utilisateur ne peut pas être trompé et amené à utiliser sa clé d'accès sur un site de phishing semblable (par ex., corbado.scam.com) car le navigateur et le système d'exploitation reconnaîtront l'incompatibilité d'origine et refuseront d'effectuer l'authentification. Cela offre une garantie de sécurité fondamentale qu'aucune méthode basée sur des secrets partagés (comme les mots de passe ou les OTP) ne peut offrir.
Résoudre la fatigue liée à la MFA : Une action simple et unique de la part de l'utilisateur, comme un scan Face ID ou une touche de l'empreinte digitale, prouve simultanément la possession de la clé cryptographique sur l'appareil (« quelque chose que vous possédez ») et l'inhérence via la biométrie (« ce que vous êtes »). Pour l'utilisateur, cela ressemble à une étape unique et sans effort, mais satisfait cryptographiquement à l'exigence d'une authentification multifacteur. Cela permet aux organisations de répondre à des normes de conformité strictes sans ajouter d'étapes supplémentaires et de charge cognitive associées à la MFA traditionnelle.

6. Le pivot stratégique : un plan pour passer aux clés d'accès obligatoires#

La transition de la MFA traditionnelle à une stratégie axée sur les clés d'accès nécessite une approche délibérée en plusieurs étapes qui tienne compte de la technologie, de l'expérience utilisateur et des objectifs commerciaux.

6.1 Étape 1 : auditer la compatibilité des appareils#

Avant de pouvoir imposer les clés d'accès, vous devez comprendre la capacité technique de votre base d'utilisateurs à les adopter. C'est une première étape critique pour évaluer la faisabilité et le calendrier d'un déploiement.

Analysez le parc de vos appareils : Utilisez les outils d'analyse web existants pour recueillir des données sur les systèmes d'exploitation (versions d'iOS, d'Android, de Windows) et les navigateurs privilégiés par vos utilisateurs.
Déployez un outil de préparation aux clés d'accès : Pour des données plus précises, une ressource de données légère comme State of Passkeys fournit des informations sur le pourcentage d'utilisateurs dont les appareils prennent en charge les authentificateurs de plateforme (comme Face ID, Touch ID et Windows Hello) et des améliorations cruciales de l'expérience utilisateur telles que la Conditional UI, qui permet le remplissage automatique des clés d'accès. Ces données sont essentielles pour élaborer un modèle d'adoption réaliste.

6.2 Étape 2 : concevoir une architecture de secours hybride#

La transition vers les clés d'accès sera progressive, et non instantanée. Une stratégie réussie nécessite un système hybride qui promeut les clés d'accès comme méthode principale et privilégiée, tout en offrant une solution de secours sécurisée pour les utilisateurs sur des appareils incompatibles ou pour ceux qui ne se sont pas encore inscrits.

Choisissez un modèle d'intégration :
- L'identifiant d'abord : L'utilisateur entre son e-mail ou son nom d'utilisateur. Le système vérifie ensuite si une clé d'accès est enregistrée pour cet identifiant et, si c'est le cas, lance le flux de connexion par clé d'accès. Sinon, il bascule de manière transparente sur un mot de passe ou une autre méthode sécurisée. Cette approche offre la meilleure expérience utilisateur et conduit généralement à des taux d'adoption plus élevés.
- Un bouton dédié pour les clés d'accès : Un bouton « Se connecter avec une clé d'accès » est placé à côté du formulaire de connexion traditionnel. C'est plus simple à mettre en œuvre, mais la responsabilité de choisir la nouvelle méthode incombe à l'utilisateur, ce qui peut se traduire par une utilisation moindre.
Assurez-vous que les solutions de secours sont sécurisées : Votre mécanisme de secours ne doit pas compromettre vos objectifs de sécurité. Évitez de vous replier sur des méthodes non sécurisées comme les OTP par SMS. Une alternative plus solide consiste à utiliser un code à usage unique sensible au temps ou un lien magique envoyé à l'adresse e-mail vérifiée de l'utilisateur, ce qui sert de facteur de possession pour une session spécifique.

6.3 Étape 3 : élaborer un plan d'éducation et de déploiement centré sur l'utilisateur#

Une communication efficace est primordiale pour un déploiement en douceur. L'objectif est de présenter les clés d'accès non pas comme un autre tracas de sécurité, mais comme une amélioration significative de l'expérience de l'utilisateur.

Un message axé sur les avantages : Utilisez un langage clair et simple qui met l'accent sur les avantages pour l'utilisateur : « Connectez-vous plus rapidement et de manière plus sécurisée », « Dites adieu aux mots de passe oubliés » et « Votre empreinte digitale est désormais votre clé ». Utilisez systématiquement l'icône officielle de la clé d'accès FIDO pour renforcer la reconnaissance.
Une stratégie de déploiement par étapes :
1. Commencez par une adoption de type « Pull » : Dans un premier temps, proposez la création de clés d'accès en option sur la page des paramètres de compte de l'utilisateur. Cela permet aux premiers utilisateurs et aux utilisateurs technophiles de s'y inscrire sans perturber le flux pour tous les autres.
2. Passez à une adoption de type « Push » : Une fois le système stable, commencez à inciter de manière proactive les utilisateurs à créer une clé d'accès immédiatement après qu'ils se sont connectés avec succès avec leur ancien mot de passe. Cela permet de capter les utilisateurs lorsqu'ils sont déjà dans un « état d'esprit d'authentification ».
3. Intégrez à l'intégration : Enfin, faites de la création de clés d'accès une option principale et recommandée pour toutes les inscriptions de nouveaux utilisateurs.

6.4 Étape 4 : suivre, mesurer et itérer#

Une approche basée sur les données est essentielle pour valider l'investissement dans les clés d'accès et pour optimiser continuellement l'expérience. Toutes les équipes devraient suivre des mesures pertinentes pour leurs rôles.

Les mesures d'adoption et d'engagement :
- Le taux de création de clés d'accès : Le pourcentage d'utilisateurs éligibles qui créent une clé d'accès.
- Le taux d'utilisation des clés d'accès : Le pourcentage du nombre total de connexions qui sont effectuées avec une clé d'accès.
- Le temps d'exécution de la première action clé : La rapidité avec laquelle les nouveaux utilisateurs effectuent une action critique après avoir adopté les clés d'accès.
Les mesures commerciales et opérationnelles :
- La réduction des tickets de réinitialisation de mot de passe : Une mesure directe de la réduction des coûts du service d'assistance.
- La réduction des coûts liés aux OTP par SMS : Des économies tangibles liées à l'élimination d'un facteur obsolète.
- Le taux de réussite de connexion : La comparaison du taux de réussite des connexions par clés d'accès avec celui des connexions par mot de passe/MFA.
- La baisse des incidents de prise de contrôle de compte : La mesure ultime de l'efficacité de la sécurité.

Les tableaux suivants fournissent un résumé concis, comparant les méthodes d'authentification et cartographiant les solutions de clés d'accès directement aux points faibles commerciaux courants.

Méthode	Résistance au phishing	Friction pour l'utilisateur (connexion)	Complexité de récupération	Portabilité de l'appareil	Coût opérationnel (Assistance/SMS)
Mot de passe seul (SFA)	Très faible : très vulnérable au phishing et au bourrage d'identifiants.	Moyenne : sujette à l'oubli de mots de passe, nécessitant des réinitialisations.	Moyenne : s'appuie sur une récupération d'e-mail non sécurisée.	Élevée : portable, mais les risques le sont tout autant.	Élevé : principal moteur des appels à l'assistance.
OTP par SMS obligatoire	Faible : vulnérable au phishing, à l'ingénierie sociale et aux attaques par échange de carte SIM.	Élevée : nécessite d'attendre et de saisir un code.	Moyenne : s'appuie sur l'accès au numéro de téléphone.	Élevée : le numéro est portable, mais le risque d'échange de carte SIM l'est également.	Très élevé : frais de SMS plus tickets d'assistance liés aux blocages.
Application TOTP obligatoire	Moyenne : protège contre les attaques de mots de passe à distance, mais pas contre le phishing en temps réel.	Élevée : nécessite l'ouverture d'une application distincte et la saisie d'un code.	Très élevée : la perte de l'appareil signifie souvent un blocage et une récupération complexe.	Faible : les clés sont liées à l'appareil à moins d'être sauvegardées manuellement.	Élevé : alimenté par les pertes d'appareils et les tickets de récupération.
Notifications push obligatoires	Faible : très vulnérables aux attaques de fatigue MFA et de bombardement de push.	Faible : un simple appui pour approuver, mais cela peut être perturbant.	Très élevée : liée à un appareil spécifique ; la perte de l'appareil nécessite un processus de récupération complet et complexe.	Faible : les clés sont liées à l'installation de l'application et ne se transfèrent pas automatiquement sur un nouvel appareil.	Élevé : génère des tickets d'assistance liés aux pertes d'appareils et aux attaques de fatigue MFA.
Clés d'accès obligatoires	Très élevée : résistantes au phishing par conception en raison de la liaison à l'origine.	Très faible : un seul geste biométrique rapide ou un code PIN.	Faible : synchronisées sur les appareils de l'utilisateur via le fournisseur de la plateforme.	Très élevée : disponibles en toute transparence sur de nouveaux appareils via la synchronisation cloud.	Très faible : réduit considérablement les blocages et élimine les coûts de SMS.

Comment les clés d'accès apportent des solutions aux points faibles de la MFA obligatoire

Persona	Principal point faible de la MFA obligatoire	Comment les clés d'accès apportent la solution
Chef de produit (Product Manager)	Les frictions élevées dans les processus de connexion et de récupération nuisent à l'expérience utilisateur, réduisent l'engagement et font baisser les taux de conversion.	Les clés d'accès offrent une connexion biométrique en un seul geste qui est nettement plus rapide que les mots de passe. En éliminant virtuellement les blocages de compte, elles suppriment une source majeure de frustration et d'attrition des utilisateurs.
CTO / Directeur de l'ingénierie	Le coût opérationnel élevé des tickets d'assistance pour les réinitialisations de mots de passe et de MFA, couplé aux coûts récurrents pour les OTP par SMS, met à rude épreuve les budgets et les ressources informatiques.	La synchronisation des clés d'accès entre les appareils réduit considérablement les scénarios de blocage qui génèrent des tickets d'assistance. L'élimination des OTP par SMS offre des économies directes et mesurables.
CISO / Professionnel de la sécurité	Lorsqu'ils sont obligés de s'inscrire, les utilisateurs choisissent souvent la méthode MFA la plus faible et la plus sujette au phishing (comme les SMS), ce qui compromet l'amélioration de la sécurité voulue par l'obligation.	Les clés d'accès sont résistantes au phishing par conception. Elles relèvent le niveau de sécurité de base pour tous les utilisateurs en faisant de l'option la plus sécurisée également l'option la plus pratique, retirant à l'utilisateur la prise de décision en matière de sécurité.
Chef de projet (Project Manager)	L'imprévisibilité d'un déploiement « big bang », associée à la résistance des utilisateurs au changement, rend les délais du projet et l'allocation des ressources difficiles à gérer.	Un déploiement progressif des clés d'accès (en commençant par les paramètres, puis par des incitations après la connexion), combiné à une communication claire et axée sur les avantages pour l'utilisateur, rend l'adoption plus fluide et plus prévisible, ce qui réduit les risques pour le projet.

Conclusion : faire de la conformité un avantage concurrentiel#

L'ère de l'authentification multifacteur obligatoire est là pour durer. Bien que nées du besoin critique de se défendre contre les attaques basées sur les identifiants, ces obligations ont créé par inadvertance un nouveau paysage de défis.

Nous avons vu que l'application de la MFA introduit des charges opérationnelles importantes, allant des coûts directs des frais de SMS à l'augmentation des tickets d'assistance des utilisateurs luttant avec l'inscription et les changements d'appareils. Nous avons appris que lorsqu'on leur donne le choix, les utilisateurs gravitent vers des méthodes familières mais sujettes au phishing comme les SMS, atteignant la conformité sur le papier mais laissant l'organisation exposée à des attaques dans le monde réel. Plus important encore, nous avons établi que dans un monde où c'est obligatoire, la récupération de compte devient le principal point de défaillance, une source de frustration immense pour les utilisateurs et une faille de sécurité béante lorsqu'elle est mal gérée.

Les méthodes traditionnelles de MFA ne peuvent pas résoudre ces problèmes. Mais les clés d'accès le peuvent. Nous avons démontré que les clés d'accès sont la réponse définitive, résolvant directement les problèmes interconnectés de la récupération, des frictions pour les utilisateurs et de la sécurité. Leur nature synchronisée élimine la plupart des scénarios de blocage, leur facilité d'utilisation biométrique supprime l'incitation à choisir des options plus faibles, et leur conception cryptographique les rend immunisées contre le phishing. Enfin, nous avons présenté un plan clair en quatre étapes, allant de l'audit de la préparation à la mesure du succès, qui offre une voie pratique à toute organisation pour effectuer cette transition stratégique.

Considérer ce changement uniquement comme un casse-tête lié à la conformité revient à passer à côté de l'opportunité stratégique qu'il présente. Les pionniers de l'authentification forte du client dans le secteur bancaire européen, malgré des difficultés initiales, ont finalement façonné les attentes des utilisateurs pour toute une industrie. Aujourd'hui, les pionniers des clés d'accès ont la même opportunité. En adoptant cette transition, les organisations peuvent transformer une obligation de sécurité, perçue comme un fardeau, en un avantage concurrentiel puissant et durable. Il est temps de planifier votre passage de l'obligation à l'élan dynamique.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Comment fonctionne la récupération de compte lorsque la MFA est obligatoire pour tous les utilisateurs ?#

La MFA obligatoire fait de la récupération de compte le principal défi opérationnel avec quatre options principales : la vérification par le service d'assistance (sécurisée mais coûteuse), la récupération par e-mail ou SMS (bon marché mais exploitable si l'e-mail est compromis), les codes de secours pré-inscrits (souvent perdus par les utilisateurs) et la vérification par selfie nécessitant une pièce d'identité officielle. Chaque option implique un compromis entre la sécurité, le coût et l'évolutivité.

Pourquoi l'obligation d'une MFA basée sur les SMS laisse-t-elle encore les organisations vulnérables au phishing ?#

Les OTP par SMS sont vulnérables au phishing en temps réel, à l'échange de carte SIM et au contournement de la récupération via un compte de messagerie compromis. Même avec 100 % d'inscription à la MFA, s'appuyer sur les SMS signifie qu'une organisation respecte la lettre d'une obligation mais pas son esprit. L'introduction par Microsoft de la « MFA préférée par le système » reconnaît ce problème en incitant activement les utilisateurs à utiliser des applications d'authentification au lieu des SMS.

Que s'est-il passé lors de l'attaque de bourrage d'identifiants de fonds de pension australiens en 2025 et que cela prouve-il à propos de la MFA ?#

En mars 2025, des attaquants ont utilisé des identifiants volés pour accéder à un maximum de 600 comptes AustralianSuper et vider 500 000 dollars australiens des soldes de quatre membres. HostPlus, qui avait déjà mis en œuvre la MFA, a signalé zéro perte financière de la même campagne. L'APRA a ensuite écrit à tous les présidents des conseils d'administration des fonds de pension, faisant de la mise en œuvre de la MFA une obligation réglementaire urgente plutôt qu'une considération future.

En quoi les clés d'accès gèrent-elles l'inscription d'un nouvel appareil différemment des applications d'authentification TOTP ?#

Les clés d'accès se synchronisent via les écosystèmes de plateformes tels que le trousseau iCloud d'Apple et le gestionnaire de mots de passe de Google, et se restaurent automatiquement sur un nouvel appareil sans réinscription par service. Les applications d'authentification TOTP perdent toutes les clés secrètes lorsqu'un appareil est remplacé, à moins qu'une sauvegarde cloud n'ait été activée manuellement au préalable, ce qui fait du remplacement de l'appareil le principal moteur de tickets d'assistance et de blocages de compte en cas de MFA obligatoire.

Quelle est la stratégie de déploiement par étapes recommandée pour faire passer les utilisateurs de la MFA traditionnelle aux clés d'accès ?#

Une approche d'adoption en trois phases réduit le risque de déploiement. Premièrement, proposez la création de clés d'accès en option dans les paramètres du compte pour attirer les premiers utilisateurs sans perturber les flux existants. Deuxièmement, invitez les utilisateurs à créer une clé d'accès immédiatement après une connexion réussie par mot de passe, lorsqu'ils sont déjà dans un état d'esprit d'authentification. Troisièmement, faites de la création de clés d'accès la recommandation principale lors de l'intégration de nouveaux utilisateurs.