19. mai 2026 | Imprimer l'article | | | |

Authentification multifacteurs : les paramètres d’usine ne…

7 Min. de lecture

Dans la plupart des entreprises, l’MFA adaptative est activée, mais pas configurée. Le commutateur dans le portail d’identité est activé, le moteur de risque fonctionne avec les valeurs fournies par le fabricant. Cela protège contre la masse des attaques automatisées. Contre l’attaquant ciblé qui connaît précisément cette logique standard, cela protège à peine. La différence entre la coche et la protection réside dans la configuration que personne ne touche.

Les points clés en bref

  • Activé n’est pas configuré. L’MFA adaptative avec les valeurs standard du fabricant bloque les attaques de masse, mais à peine l’attaquant ciblé qui connaît la logique standard.
  • Le moteur n’est aussi bon que ses signaux. Sans état de l’appareil, contexte d’identité et schémas comportementaux, l’évaluation des risques reste grossière et produit une fausse sécurité.
  • L’ajustement fin nécessite un pilote. Celui qui ajuste les politiques sans phase d’observation crée une vague de frustration et reçoit la règle d’exception qui annule à nouveau la protection.

Relatif:L’MFA adaptative comme levier Zero Trust  /  Identités des machines

Qu’est-ce que l’MFA adaptative ? L’MFA adaptative est une authentification multi-facteurs qui rend la preuve requise dépendante du risque de chaque connexion. Un moteur évalue les signaux tels que l’emplacement, l’appareil et le comportement et décide si une connexion passe, nécessite un facteur supplémentaire ou est bloquée. L’MFA statique, en revanche, demande toujours le même second facteur.

Ce que l’authentification basée sur les risques apporte réellement

L’attrait de l’MFA adaptative s’explique rapidement. Une connexion depuis l’ordinateur de l’entreprise connu dans le réseau habituel se déroule sans problème. La même connexion à trois heures du matin depuis un pays étranger avec un appareil inconnu nécessite un second facteur fort ou est arrêtée. Sécurité là où il y a un risque. Calme là où il n’y en a pas.

En pratique, le réglage d’usine fait exactement la moitié de cela. Il capte la vague d’attaque large et bruyante : bourrage d’identifiants, pulvérisation de mots de passe, les tentatives automatisées qui touchent chaque compte sur Internet. Ce n’est pas peu. Microsoft chiffre l’effet de l’authentification multi-facteurs depuis des années avec un nombre frappant.

99,9 Prozent
des attaques automatisées sur les comptes peuvent être bloquées par l’authentification multi-facteurs, selon Microsoft.
Source : Microsoft, Identity Security / Analyses de protection des comptes

Le chiffre est impressionnant et il est honnête, tant que l’on lit ce qu’il y a derrière. Il décrit les attaques automatisées. Il ne dit rien sur l’attaquant qui vise un compte spécifique, qui prend la peine d’étudier le flux de connexion. Il sait qu’un moteur non réglé réagit de manière prévisible. Cet autre attaquant est plus rare, mais c’est le cas coûteux. Et contre lui, la configuration fait la différence.

Là où la configuration standard s’arrête

Les fabricants livrent des MFA adaptatifs avec des paramètres par défaut conservateurs. C’est compréhensible et même nécessaire. Un réglage d’usine trop agressif bloquerait la moitié du personnel dès la première connexion, rendant le produit inutilisable. Le réglage est donc prudent. Et c’est généralement là qu’il reste.

Trois lacunes apparaissent régulièrement dans cette configuration standard. La première est le seuil. Le moteur calcule une valeur de risque. Ce n’est qu’au-dessus d’un certain seuil qu’il demande un facteur supplémentaire. Si ce seuil est réglé sur le paramètre par défaut conservateur, les risques modérés passent inaperçus. Une connexion depuis une nouvelle ville dans le même pays, un appareil légèrement différent, une heure inhabituelle : individuellement trop faibles pour le paramètre par défaut, mais ensemble, un schéma clair.

La deuxième lacune est la réaction. De nombreuses configurations ne connaissent que deux réponses : laisser passer ou demander un facteur supplémentaire. Les options intéressantes restent inutilisées. Une session avec une validité réduite, un accès sans la possibilité de télécharger des données sensibles, une notification silencieuse à l’équipe de sécurité en cas de risque modéré. Ceux qui n’utilisent que le commutateur grossier perdent la moitié de l’effet.

La troisième lacune est l’exception. Presque toutes les organisations en ont : le cadre qui voyage constamment et est agacé par les demandes de MFA, et qui reçoit donc une règle spéciale. Cette exception est souvent précisément le compte avec le plus de dommages en cas de compromission. Une liste d’exceptions non vérifiée est la manière la plus silencieuse de désactiver à nouveau la MFA adaptative.

Quels signaux nécessite un moteur de risque honnête

Une évaluation des risques n’est aussi fiable que les signaux qu’elle reçoit. La localisation et l’adresse IP seules ne suffisent pas, car elles peuvent être falsifiées et masquées par des services de proxy. Un moteur solide combine plusieurs niveaux.

Le niveau le plus important est l’état de l’appareil. L’appareil est-il géré, le disque dur est-il chiffré, le niveau de patch est-il à jour, la protection des points de terminaison signale-t-elle des anomalies ? Une connexion depuis un appareil conforme présente un risque différent de la même connexion depuis un navigateur inconnu. Ceux qui n’intègrent pas les signaux de l’appareil évaluent à l’aveugle.

Le deuxième niveau est le contexte d’identité. Le mot de passe vient-il de changer, y a-t-il eu des tentatives échouées récemment, l’identité apparaît-elle dans un ensemble de données de fuite, le schéma de connexion diffère-t-il du comportement des dernières semaines ? Ces signaux racontent une histoire qu’une seule adresse IP ne peut jamais raconter.

Le troisième niveau est le comportement après la connexion. L’authentification adaptative ne s’arrête pas à l’écran de connexion. Un compte qui se connecte sans incident et qui ensuite, en quelques minutes, consulte un nombre inhabituel d’ensembles de données doit être réévalué. Cette vérification continue est la partie que les configurations standard omettent le plus souvent.

Ce qui fait basculer le réglage fin et ce qui le fait chavirer

Régler l’adaptive MFA n’est pas un processus purement technique. C’est un équilibre entre protection et acceptation. Les modèles suivants déterminent de quel côté penche la configuration.

Ce qui fait chavirer

  • Régler les seuils sans phase d’observation et déclencher une vague de frustration
  • Exceptions permanentes pour les cadres agacés sans date d’expiration
  • Utiliser uniquement l’emplacement et l’IP comme signaux, sans état de l’appareil et historique
  • Limiter la réaction au risque à autoriser ou bloquer

Ce qui porte

  • Définir les seuils à partir de véritables données de connexion issues d’une phase d’observation
  • Accorder des exceptions temporaires et les soumettre automatiquement à révision
  • Combiner l’état de l’appareil, le contexte d’identité et le comportement comme niveaux de signal
  • Utiliser des réactions graduées : session raccourcie, accès restreint, notification silencieuse

La différence entre les colonnes n’est pas une question de budget. Les deux configurations utilisent la même licence et le même moteur. Ce qui les distingue, c’est la volonté de traiter la configuration comme une tâche continue plutôt qu’un interrupteur unique.

Comment réussir un pilote sans vague de frustration

Régler l’adaptive MFA ne supporte pas un grand changement brutal du jour au lendemain. Augmenter les seuils pour tout le monde en même temps génère une vague de connexions bloquées dès le premier matin, un service desk surchargé et une pression politique pour tout annuler. Un pilote progressif évite cela.

Régler l’adaptive MFA en quatre phases
Phase 1
Observer. Le moteur fonctionne en mode rapport sans bloquer. Deux à quatre semaines fournissent une image réelle des valeurs de risque qui se produisent réellement au quotidien.
Phase 2
Définir les seuils. Sur la base des véritables données, les seuils de risque sont définis, pas au feeling. Ici, il est également décidé quelle réaction graduée correspond à quelle valeur.
Phase 3
Groupe pilote. Un département mixte et gérable fonctionne en mode actif. L’équipe de sécurité accompagne de près, les points de friction sont collectés et les seuils ajustés.
Phase 4
Déploiement. La configuration testée est étendue, y compris les exceptions délibérément temporaires. À partir de là, le moteur est productif et reste une tâche continue.

L’étape cruciale est la phase un. Sans données d’observation, chaque seuil est une supposition. Les seuils supposés sont la principale cause de la vague de frustration. Investir les deux à quatre semaines permet de construire la configuration sur sa propre réalité, pas sur une hypothèse.

L’adaptive MFA est aujourd’hui incluse dans la plupart des licences. La protection qu’elle promet ne dépend pas de l’achat, mais de l’entretien. Un moteur activé une fois et jamais retouché est comme une assurance dont personne n’a lu la police.

Foire aux questions

Qu’est-ce qui distingue l’MFA adaptative de l’MFA normale ?

L’MFA normale exige le même second facteur à chaque connexion, indépendamment du contexte. L’MFA adaptative évalue chaque connexion individuellement en fonction de signaux tels que l’appareil, l’emplacement et le comportement, et décide ensuite si une connexion est autorisée, nécessite un facteur supplémentaire ou est bloquée. Cela réduit la friction lors des connexions non suspectes et augmente la protection lors des connexions à risque.

La configuration standard de l’MFA adaptative est-elle suffisante ?

Pour la majorité des attaques automatisées, oui, mais contre les attaquants ciblés, elle est limitée. Les fabricants fournissent délibérément des valeurs conservatrices pour éviter que quelqu’un soit bloqué. Cette configuration par défaut permet des risques modérés et n’utilise pas les réponses graduées. Une configuration adaptée à votre propre environnement est la véritable protection.

Quels signaux la moteur de risque doit-il évaluer ?

Au moins trois niveaux : l’état de l’appareil comme la gestion, le chiffrement et le niveau de patch, le contexte d’identité comme les changements de mot de passe récents ou l’apparition dans les données de fuite, ainsi que le comportement après la connexion. L’emplacement et l’adresse IP seuls sont trop faciles à falsifier pour supporter une évaluation fiable.

Comment éviter une vague de frustration lors de la mise en œuvre ?

Avec une phase d’observation. Le moteur fonctionne d’abord pendant deux à quatre semaines en mode rapport sans bloquer. Ce n’est qu’à partir de ces données de connexion réelles que les seuils sont définis, puis un groupe pilote est mis en œuvre avant le déploiement général. Les seuils mal définis sont la principale cause de connexions bloquées et d’engorgement du service desk.

Comment gérer les exceptions pour les cadres ?

Les exceptions doivent être accordées temporairement et automatiquement soumises à révision. Une règle spéciale permanente affecte souvent le compte avec le plus grand potentiel de dommages. Au lieu de désactiver complètement l’MFA, une politique adaptée avec des facteurs résistants au phishing comme FIDO2 est une meilleure solution, car elle offre à la fois confort et protection.

Conseils de lecture de la rédaction

Plus du réseau MBF Media

cloudmagazin

Le Platform Engineering n’est plus un projet DevEx

digital-chiefs

La politique des matières premières devient politique technologique

mybusinessfuture

Optimisation des processus sans projet permanent

Source de l’image : générée par IA (mai 2026), certificat C2PA intégré dans l’image

Imprimer l'article
Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH