Cybersecurite TPE
MFA et 2FA en TPE : comment les activer sur tous tes comptes
La double authentification, aussi appelee 2FA ou MFA, est une des mesures les plus rentables pour une TPE. Elle ne rend pas tes comptes invincibles, mais elle reduit fortement le risque qu un mot de passe vole suffise a entrer dans ta boite mail, ton outil de facturation ou ton espace bancaire. Le probleme, dans une petite equipe, n est pas de comprendre le principe. Le probleme est de l activer partout sans creer de blocage le lundi matin. Il faut choisir les comptes prioritaires, une methode simple, un responsable et une procedure de secours.
La double authentification, aussi appelee 2FA ou MFA, est une des mesures les plus rentables pour une TPE. Elle ne rend pas tes comptes invincibles, mais elle reduit fortement le risque qu un mot de passe vole suffise a entrer dans ta boite mail, ton outil de facturation ou ton espace bancaire. Le probleme, dans une petite equipe, n est pas de comprendre le principe. Le probleme est de l activer partout sans creer de blocage le lundi matin. Il faut choisir les comptes prioritaires, une methode simple, un responsable et une procedure de secours.
1. Commence par les comptes vraiment critiques
Ne cherche pas a tout securiser le meme jour. Classe les comptes par impact. Un compte critique est un compte qui permet de lire des donnees clients, d envoyer des emails au nom de l entreprise, de modifier des paiements, de supprimer des fichiers ou de changer des droits utilisateurs. Dans une TPE, la premiere liste contient presque toujours la messagerie professionnelle, le compte administrateur Google Workspace ou Microsoft 365, le logiciel de facturation, la banque, le gestionnaire de mots de passe, le stockage cloud, les outils CRM et les comptes sociaux qui portent la marque. Ajoute ensuite les comptes de production : hebergement web, Cloudflare, registrar de domaine, outil de paiement, depot Git, outils clients. Si un attaquant peut modifier ton site, intercepter des emails ou acceder a des factures, le compte doit passer dans le lot prioritaire. Le bon objectif pour une premiere semaine est simple : MFA activee sur tous les comptes administrateurs et sur toutes les boites mail. Les comptes secondaires peuvent suivre apres.
- Liste les comptes administrateurs.
- Identifie les comptes qui donnent acces a l argent.
- Ajoute les comptes qui donnent acces aux donnees clients.
- Traite les comptes partages comme un risque a supprimer.
2. Choisis une methode MFA adaptee a ton equipe
Toutes les doubles authentifications ne se valent pas. Le SMS est mieux que rien, mais il reste moins robuste qu une application d authentification ou qu une cle de securite physique. Pour une TPE, l option la plus simple est souvent une application comme Microsoft Authenticator, Google Authenticator, 1Password, Bitwarden ou l outil integre au gestionnaire de mots de passe. Pour les comptes tres sensibles, une cle de securite FIDO2 peut etre pertinente. Elle demande un peu plus de discipline, mais elle limite les risques de phishing avance. Tu peux commencer par les comptes administrateurs et la messagerie du dirigeant. Evite de melanger trop de methodes. Si chaque outil utilise une procedure differente, l equipe finit par contourner. Documente une methode par defaut, puis les exceptions.
- Application d authentification pour la majorite des comptes.
- Cle physique pour les comptes administrateurs sensibles.
- Codes de secours stockes dans un endroit controle.
- Pas de codes colles dans un document partage ouvert a tous.
3. Active la MFA sans interrompre le travail
Planifie l activation par vagues. Commence par toi ou par un compte test. Verifie la connexion depuis un ordinateur et un telephone. Ensuite seulement, active la mesure pour les autres utilisateurs. Previens l equipe avant, avec une consigne courte et une heure de support. Le message doit etre concret : tel jour, tu devras scanner un QR code, enregistrer un code de secours, puis tester ta connexion. Ce n est pas une formation cyber de deux heures. C est une operation de securisation de compte. Garde une fenetre de rattrapage. Si quelqu un change de telephone ou perd l application, tu dois savoir comment le reinitialiser sans donner les droits administrateur a tout le monde.
- Tester sur un compte pilote.
- Prevenir les utilisateurs.
- Activer par outil, pas dans le desordre.
- Noter les comptes termines et les comptes en retard.
4. Gere les comptes partages et les comptes prestataires
La MFA revele souvent un autre probleme : les comptes partages. Si trois personnes utilisent la meme adresse et le meme mot de passe, la double authentification devient penible et fragile. Le bon correctif est de creer des comptes nominatifs, avec les bons droits, puis de supprimer le compte partage quand c est possible. Pour les prestataires, evite de donner ton propre compte. Cree un acces dedie, limite dans le temps et avec MFA. Quand la mission se termine, coupe l acces. Cette routine evite de laisser une porte ouverte pendant des mois. Un prestataire serieux acceptera ce cadre. Si quelqu un insiste pour utiliser ton compte administrateur, c est un signal de risque operationnel.
5. Documente la procedure de secours
La double authentification doit prevoir les incidents ordinaires : telephone casse, changement de collaborateur, depart d un prestataire, code perdu, dirigeant indisponible. Sans procedure, la securite peut se transformer en blocage business. Stocke les codes de secours dans un gestionnaire de mots de passe ou un coffre controle. Note qui peut reinitialiser un compte, dans quelles conditions, et quelle verification doit etre faite avant. Pour les comptes critiques, evite qu une seule personne soit le point de blocage absolu. Une fois par trimestre, fais un controle rapide : comptes critiques, MFA activee, codes de secours presents, anciens utilisateurs retires. C est sobre, mais tres efficace.
- Responsable de reinitialisation.
- Lieu de stockage des codes de secours.
- Liste des comptes critiques.
- Date du dernier controle.
Controle de fin de mois
A la fin du mois, reprends le sujet en dix minutes. Verifie ce qui a ete applique, ce qui reste bloque, qui est responsable et quelle decision doit etre prise. Une mesure cyber non suivie finit souvent par disparaitre dans le quotidien. Le controle mensuel sert a garder une trace simple : fait, a faire, bloque, inutile.
Note aussi les exceptions. Si une personne ne peut pas appliquer une regle, documente pourquoi et fixe une date de correction. Une exception temporaire peut etre acceptable. Une exception oubliee devient une faiblesse durable.
Exemple concret
Une agence de trois personnes peut commencer par la messagerie, le stockage cloud, la facturation et le domaine. Le dirigeant active la MFA sur le compte administrateur, ajoute une cle de secours ou une application d authentification, puis verifie que le second administrateur peut reprendre la main en cas d absence. Ensuite, chaque utilisateur active la MFA sur sa boite mail et sur le gestionnaire de mots de passe.
Le controle ne s arrete pas a l activation. Il faut verifier les sessions deja ouvertes, supprimer les anciens appareils, retirer les methodes de recuperation obsoletes et stocker les codes de secours au bon endroit. Beaucoup de comptes restent fragiles parce que l ancien numero de telephone ou l email personnel d un ancien collaborateur sert encore a recuperer le compte.
Erreurs a eviter
La premiere erreur est de forcer la MFA sans expliquer la procedure de secours. Une equipe qui a peur d etre bloquee cherchera des contournements. La deuxieme erreur est de garder des comptes partages, puis de demander a tout le monde d utiliser le meme code. La troisieme est de laisser le dirigeant seul administrateur de tous les comptes critiques.
Evite aussi de stocker les QR codes MFA dans le meme dossier que les mots de passe exportes. Si un attaquant recupere les deux, le second facteur perd une grande partie de son interet. Le coffre doit etre organise, limite et protege par sa propre MFA.
Plan 30 minutes
Pendant les dix premieres minutes, liste les comptes critiques. Pendant les dix suivantes, active la MFA sur la messagerie et le gestionnaire de mots de passe. Pendant les dix dernieres, note les codes de secours et la personne capable de reinitialiser un acces. La semaine suivante, traite facturation, banque, cloud et hebergement. Ce rythme evite le chantier infini et donne des resultats visibles.
FAQ
Le SMS suffit-il pour une TPE ?
Le SMS est mieux qu aucun second facteur, mais une application d authentification ou une cle physique est preferable pour les comptes critiques.
Faut-il activer la MFA sur tous les comptes ?
Oui a terme, mais commence par les comptes administrateurs, la messagerie, la banque, la facturation, le cloud et les outils clients.
Que faire si un collaborateur perd son telephone ?
Utilise la procedure de secours : verification de l identite, reinitialisation par un administrateur autorise, puis nouveau code de secours stocke proprement.
CTA Devisignes
Pour mettre ces controles en place sans repartir de zero, utilise la checklist cyber TPE. Elle sert a suivre les comptes, les sauvegardes, les mises a jour et les actions prioritaires sans transformer la securite en projet interminable.
Sources
- https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mots-de-passe
- https://cyber.gouv.fr/publications/guide-dhygiene-informatique
- https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.