L’authentification multifacteur adaptative comme norme NIS2 2026 : Comment la guidance de l’ENISA a clarifié la clause de pertinence
NIS2 exige une authentification multi-facteurs (MFA) « lorsque approprié » et en Allemagne, le mandat d’exécution du BSI entrera dans sa phase opérationnelle en mai 2026. La question centrale pour les responsables de la sécurité et de la conformité n’est pas « avons-nous la MFA », mais « avons-nous la bonne MFA aux bons endroits avec une justification documentée des risques ». Ceux qui entretiennent encore une configuration MFA générale en 2026 auront un résultat ouvert lors de l’audit du BSI.
TL;DR : L’MFA adaptative devient la norme de conformité NIS2 en 2026
- NIS2 §2(j) exige une MFA ou une authentification continue « lorsque approprié ». Les lignes directrices de l’ENISA Q1 2026 ont clarifié que « approprié » ne signifie pas « optionnel », mais une évaluation documentée des risques par classe de compte.
- Le mandat d’exécution du BSI entrera en phase opérationnelle en Allemagne en mai 2026, la Belgique étant en avance le 18 avril 2026. Les premiers audits commenceront au T3 2026, notamment dans les secteurs de l’énergie, de la santé, de l’administration, de la banque, des télécommunications et de la construction d’installations.
- L’MFA adaptative (authentification basée sur les risques avec signaux contextuels au lieu de MFA générale) est la voie pragmatique en 2026. Elle réduit la friction utilisateur de 40 à 70 pour cent et fournit simultanément une meilleure piste d’audit.
- Trois éléments sont pertinents pour le BSI en 2026 : Inventaire des risques d’identité avec classification des comptes, moteur MFA adaptative avec signaux contextuels, piste d’audit avec profondeur forensique pendant au moins 12 mois.
- Ceux qui mettent en place correctement l’architecture de conformité dès maintenant éviteront les risques d’amendes pouvant aller jusqu’à 10 millions d’euros en 2027 et se positionneront également pour la vague de résilience DORA à venir.
Ce que les lignes directrices de l’ENISA Q1 2026 ont clarifié concernant la clause « lorsque approprié »
La clause NIS2 « lorsque approprié » a causé de la confusion depuis l’adoption de la directive en 2022. De nombreux responsables de la conformité l’ont interprétée comme une marge de manœuvre discrétionnaire dans laquelle l’organisation peut décider elle-même où la MFA est judicieuse. Les lignes directrices de l’ENISA du premier trimestre 2026 ont clairement rejeté cette interprétation. « Lorsque approprié » signifie que l’organisation doit fournir une évaluation documentée des risques par classe de compte, expliquant pour chaque classe pourquoi la MFA s’applique ou pourquoi elle n’est pas utilisée. Une configuration « nous avons la MFA dans Outlook » ne suffira plus en 2026.
L’exigence structurelle est la suivante : Inventaire des risques d’identité. Chaque classe de compte (compte employé, compte administrateur, compte de service, accès fournisseur externe, compte d’urgence, compte machine) doit figurer dans un tableau, avec une évaluation des risques, un mécanisme MFA, une justification et une date de révision. Les lignes directrices de l’ENISA citent explicitement l’accès privilégié (comptes administrateurs), l’accès à distance et les comptes fournisseurs externes comme domaines dans lesquels la MFA est pratiquement toujours « appropriée ». Ceux qui n’ont pas de MFA pour ces classes auront un résultat d’audit BSI.
Les obligations NIS2 pour les messageries d’avril 2026 montrent à quel point l’architecture de conformité en 2026 va dans le détail. La MFA est l’un des éléments centraux, car elle influence directement la sécurité des identités ainsi que la capacité forensique en cas d’incidents.
Pourquoi l’authentification multifactorielle adaptative est la voie pragmatique
L’authentification multifactorielle (MFA) universelle pour tous les comptes semble sécurisée au premier abord, mais pose deux problèmes en pratique : friction utilisateur et faiblesse d’audit. La friction utilisateur conduit à des comportements de contournement (acceptation de Push-Bombing, chemins de réinitialisation de mot de passe faibles, comptes fantômes), qui peuvent réduire la sécurité nette. La faiblesse d’audit survient parce que la MFA universelle ne fournit pas d’audit contextuel, ne différenciant pas si une connexion provient d’une configuration inhabituelle ou d’une configuration standard.
L’authentification multifactorielle adaptative résout ces deux problèmes. Elle utilise des signaux contextuels (identité de l’appareil, emplacement, heure de la journée, profils de comportement, sensibilité des ressources) et décide pour chaque tentative de connexion quel niveau de MFA appliquer. Pour une connexion standard à partir d’un profil d’appareil enregistré, un deuxième facteur simple suffit. Pour une connexion à partir d’un emplacement inconnu ou avec un profil de comportement inhabituel, un facteur renforcé (clé matérielle FIDO2, confirmation biométrique) ou une étape supplémentaire est déclenchée. Le résultat : moins de friction pour les connexions standard, plus de sécurité pour les connexions à risque, une traçabilité d’audit nettement meilleure.
Dans deux mandats DACH au cours des six derniers mois, le passage de la MFA universelle à la MFA adaptative a réduit le nombre de demandes de MFA quotidiennes de 40 à 70 %, tout en augmentant la détection de connexions suspectes d’un facteur trois à cinq. Économiquement, la décision n’est pas seulement motivée par la conformité, mais également par l’expérience utilisateur et la sécurité. Les points clés de la MFA adaptative d’avril 2026 montrent l’efficacité opérationnelle contre les vecteurs d’attaque actuels tels que le phishing de code d’appareil.
Trois éléments de conformité qui doivent figurer dans l’architecture NIS2 2026
Élément 1 : Inventaire des risques d’identité avec classification des comptes. Le premier élément est un tableau de toutes les classes de comptes dans l’entreprise, avec le nombre, l’évaluation des risques (faible, moyen, élevé, critique), le mécanisme de MFA, la justification du choix et la date de révision. Lors de l’audit NIS2, ce tableau est le premier document vérifié. Quiconque ne l’a pas, a immédiatement un problème. Quiconque l’a, mais avec des comptes privilégiés sans MFA forte, également. Une inventaire sérieuse prend entre quatre et huit semaines dans une entreprise moyenne de 250 à 1 000 employés.
Élément 2 : Moteur de MFA adaptative avec signaux contextuels. Le deuxième élément est la couche technique de MFA. Les options disponibles sur le marché en 2026 sont Microsoft Entra ID Conditional Access, Okta Adaptive MFA, Cisco Duo Beyond, Ping Identity ou des solutions spécialisées comme Silverfort et Rublon. Le choix dépend de la pile d’identité existante, mais les exigences centrales sont identiques : moteur de politique basé sur les risques, prise en charge de FIDO2 et WebAuthn, mécanismes de montée en puissance, journaux d’audit. Quiconque ne met pas cet élément à niveau avec une logique adaptative dans les 12 prochains mois, vit avec un niveau de sécurité et de conformité globalement plus faible.
Élément 3 : Traçabilité d’audit avec une profondeur forensique. Le troisième élément est souvent sous-estimé. NIS2 exige non seulement l’application de la MFA, mais également la possibilité de preuve sur au moins 12 mois. Quiconque ne peut pas reconstruire, en cas d’incident, quelle connexion avec quel facteur a eu lieu à quel moment et depuis où, a un problème de forensic et de conformité à la fois. L’architecture de traçabilité d’audit doit donc aller au-delà du journal du fournisseur d’identité et agréger les journaux dans un système central, sécurisé contre les manipulations (SIEM, référentiel de journal d’audit dédié). L’obligation de conservation ne se termine pas en 2026 à 12 mois, mais est prolongée à 24 ou 36 mois pour les secteurs critiques.
À quoi ressemble concrètement un plan de conformité de 90 jours
Issue de la pratique du conseil, un plan de 90 jours s’est établi, mettant en œuvre les trois éléments dans le bon ordre. Jour 1 à 30 : Inventaire des risques d’identité. Enregistrement de toutes les classes de comptes, évaluation des risques, analyse des lacunes par rapport à NIS2 §2(j) et aux recommandations de l’ENISA. Résultat : Tableau des risques d’identité avec une liste d’actions claire. Jour 31 à 60 : Décision sur l’architecture MFA adaptative. Analyse du marché, preuve de concept avec deux solutions, décision sur l’architecture avec l’IT, la sécurité, les RH et la protection des données. Résultat : Décision sur l’architecture avec un plan de déploiement. Jour 61 à 90 : Déploiement pilote pour les comptes privilégiés et l’accès à distance. Formation accompagnée des utilisateurs, voies d’escalade en cas de friction, augmentation progressive de la rigueur des politiques. Résultat : Rapport pilote avec feuille de route d’extension à toutes les classes de comptes.
Ceux qui suivent systématiquement ce plan de 90 jours seront, à la fin du troisième trimestre 2026, dans une position où l’audit BSI trouvera les exigences essentielles remplies. Ceux qui ne suivent pas le plan devront rattraper les résultats ouverts lors de la phase d’audit à partir du troisième trimestre 2026, souvent sous la pression du temps et à des coûts plus élevés.
Que se passe-t-il si l’audit BSI constate des défauts ?
La logique d’escalade de l’application BSI prévoit une procédure en trois étapes. Première étape : Imposition de conditions avec délai (généralement trois à six mois) pour remédier aux défauts. Deuxième étape : Amende en cas de non-respect des conditions, cadre allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Troisième étape : Responsabilité personnelle de la direction avec le patrimoine privé, si les devoirs de diligence ont été manifestement violés. Les premiers cas d’amendes dans les procédures précédentes NIS1 ont montré que le BSI peut utiliser tout le cadre en cas d’échec de la MFA dans les comptes privilégiés, si le défaut est considéré comme gravement négligent. L’investissement dans l’architecture dans la MFA adaptative avec audit trail est toujours économique par rapport au montant de l’amende.
Comment DORA renforce encore les exigences de MFA
Pour les institutions financières, DORA s’ajoute comme couche supplémentaire. DORA exige la résilience opérationnelle et prescrit explicitement la MFA pour les accès privilégiés et les sessions à distance dans les dispositions de gestion des risques ICT. Alors que NIS2 utilise la logique « lorsque approprié », l’exigence DORA est plus stricte : la MFA privilégiée est obligatoire, pas optionnelle. Les banques, les assureurs et les fournisseurs tiers critiques de TIC doivent donc non seulement remplir la logique NIS2 en 2026, mais aussi la rigueur de DORA. La ligne DORA-2 de l’UK FCA d’avril 2026 fournit la directive réglementaire d’accompagnement de la résilience opérationnelle. Ceux qui mettent en place l’architecture NIS2 conforme à DORA auront réglé la double couche de conformité en une seule fois.
Quels sont les résultats typiques des audits en 2026
Des premiers ateliers de pré-audit avec les responsables de la sécurité des entreprises de taille moyenne, quatre résultats récurrents peuvent être identifiés, qui conduiront à des conditions dans le véritable audit BSI. Premièrement : Comptes de service sans MFA et sans rotation de secret. Dans la plupart des entreprises DACH, il existe entre 30 et 200 comptes de service avec des mots de passe standard qui n’ont pas été modifiés depuis des années. Ceux-ci sont la première voie d’escalade pour les attaquants et un résultat ouvert dans l’audit. Deuxièmement : Accès des fournisseurs externes sans MFA forte. Les accès de maintenance des constructeurs de machines, des fournisseurs de services informatiques et des fournisseurs de logiciels fonctionnent souvent sans FIDO2 ou jeton matériel. Troisièmement : Comptes d’urgence sans logique de procédure documentée. Ceux qui ont des comptes Break-Glass doivent documenter par écrit les procédures d’activation et de désactivation et les présenter lors de l’audit. Quatrièmement : Consoles d’administration cloud sans MFA renforcée pour les opérations sensibles. Microsoft Azure Privileged Identity Management, AWS IAM Identity Center et Google Cloud Privileged Access Manager offrent les outils, mais ils ne sont utilisés de manière cohérente que dans la moitié des configurations DACH.
Ceux qui éliminent systématiquement ces quatre résultats avant le premier audit BSI sont déjà dans la moitié supérieure de la maturité de conformité. De l’expérience, le traitement dans une configuration de taille moyenne prend entre huit et seize semaines, selon le degré de fragmentation du paysage des comptes de service. Ceux qui n’ont pas encore abordé le sujet en 2026 devraient réserver la prochaine série de feuilles de route de sécurité à cet effet.
Le rôle de l’authentification multifacteur résistante au phishing
Un aspect central des recommandations ENISA Q1 2026 est l’utilisation de méthodes d’authentification multifacteur (MFA) résistantes au phishing pour les accès privilégiés. Les notifications push classiques et les OTP par SMS peuvent être compromises par des outils de phishing tels qu’Evilginx, Modlishka ou encore le kit Tycoon-2FA, documenté en avril 2026 dans une vague d’attaques. En revanche, les clés matérielles FIDO2, les passkeys et l’authentification biométrique avec liaison à l’origine (origin-binding) sont considérées comme résistantes au phishing. En 2026, la recommandation est claire pour les accès privilégiés et les sessions à distance : seuls les facteurs résistants au phishing doivent être utilisés. Dans l’architecture NIS2, l’inventaire devrait donc documenter, pour chaque catégorie d’accès privilégié, le statut de résistance au phishing. Toute organisation utilisant encore le SMS ou le MFA push pour les comptes administrateurs présente en 2026 un risque résiduel identifiable, souvent directement soulevé lors des audits.
D’un point de vue opérationnel, la transition vers les clés matérielles FIDO2 ou les passkeys est particulièrement pertinente pour les utilisateurs privilégiés, car ces utilisateurs sont déjà sensibilisés à la sécurité et perçoivent la friction supplémentaire comme une contrainte mineure. Pour les larges groupes d’employés, les passkeys représentent une solution plus ergonomique, car elles n’exigent aucun matériel supplémentaire et s’intègrent parfaitement aux appareils modernes. Une stratégie mixte (clés matérielles pour les administrateurs, passkeys pour le personnel, applications TOTP classiques comme facteur transitoire pour les accès hérités) constitue en 2026 l’approche pragmatique, conforme aux recommandations ENISA.
Foire aux questions
Le MFA par SMS suffit-il pour la conformité NIS2 ?
Pour les catégories à faible risque, oui en général ; pour les accès privilégiés, non. Les recommandations ENISA préconisent un MFA basé sur FIDO2 ou TOTP pour les comptes administrateurs, car les facteurs SMS peuvent être compromis via le SIM swapping. Une généralisation du SMS en 2026 expose clairement à des audits BSI.
Quel est le coût d’un MFA adaptatif pour une entreprise de taille moyenne ?
Pour 250 à 1 000 employés, les coûts de licence s’élèvent entre 5 et 18 euros par employé et par mois, selon la solution choisie et l’étendue des fonctionnalités. Le coût de mise en œuvre la première année se situe typiquement entre 35 000 et 120 000 euros. Face à un risque de sanctions pouvant atteindre 10 millions d’euros, l’équation économique est claire.
Comment intégrer un MFA adaptatif dans une infrastructure Microsoft existante ?
Microsoft Entra ID Conditional Access est la solution naturelle pour les organisations basées sur la suite Microsoft. La configuration nécessite un inventaire des identités, la définition de politiques de risque et le test des mécanismes d’élévation d’authentification (step-up). Pour des environnements multi-cloud ou hybrides complexes, des éditeurs tiers comme Silverfort ou Okta offrent souvent une plus grande flexibilité.
Et les comptes de service et les identités machine ?
Le MFA classique convient aux utilisateurs humains, pas aux comptes de service. Pour ces derniers, on utilise des identités de charge de travail (managed identities, principaux de service avec authentification par certificat), la gestion des secrets (HashiCorp Vault, Azure Key Vault) et la fédération d’identités de charge de travail. La logique NIS2 exige également ici une évaluation de risque documentée pour chaque catégorie de compte.
A quelle fréquence la revue des risques doit-elle être mise à jour ?
Au minimum une fois par an, mais en pratique une mise à jour semestrielle est recommandée. En cas de changements organisationnels majeurs (acquisitions, nouveaux marchés, migration vers des clouds souverains), la revue doit être actualisée en dehors du calendrier prévu. Les auditeurs BSI vérifient fréquemment l’actualité de cette évaluation comme indicateur de maturité en matière de conformité.
Comment réduire la friction utilisateur lors du déploiement d’un MFA adaptatif ?
Trois bonnes pratiques éprouvées : premièrement, une phase pilote avec les utilisateurs privilégiés, qui comprennent le mieux la friction et peuvent fournir un retour d’expérience. Deuxièmement, une communication claire de la logique (pourquoi un facteur maintenant, pourquoi pas dans tel autre cas). Troisièmement, des mécanismes de dégradation (step-down) pour les appareils de confiance, dotés d’une gestion des endpoints fonctionnelle. En communiquant activement sur la réduction de la friction, on gagne l’adhésion des utilisateurs à la logique de sécurité.
Réseau : Continuer la lecture sur Security Today
- Pratique opérationnelle du Rapport sur les incidents dans le secteur de la santé d’avril 2026
- Obligations NIS2 pour les messageries du Rapport de conformité Whatsapp-Signal
- Adaptive-MFA contre 7 millions de tentatives de phishing par code de dispositif
Source image de couverture : Pexels / Dan Nelson (px:4973899)
