Cybersecurite TPE
MFA sur les outils SaaS courants d'une TPE : quoi activer en premier
La MFA, ou authentification multifacteur, ajoute une verification en plus du mot de passe. Dans une TPE, elle doit d'abord proteger les comptes qui peuvent b...
La MFA, ou authentification multifacteur, ajoute une verification en plus du mot de passe. Dans une TPE, elle doit d'abord proteger les comptes qui peuvent bloquer l'activite : messagerie, stockage, facturation, banque, CRM, comptes administrateurs.
L'objectif n'est pas de tout durcir en une journee. L'objectif est de traiter les acces les plus critiques avant les comptes secondaires.
La version courte
Active la MFA en priorite sur :
- la messagerie professionnelle ;
- le stockage cloud ;
- les outils de facturation et comptabilite ;
- les comptes bancaires et comptes pro ;
- les administrateurs de domaine, site web et hebergement ;
- le CRM ou pipeline commercial ;
- le gestionnaire de mots de passe.
Puis documente qui possede les codes de secours et comment recuperer l'acces si un telephone est perdu.
Pourquoi commencer par la messagerie
La boite mail est souvent le compte le plus critique. Elle permet de recevoir des liens de reinitialisation, de consulter les factures, de dialoguer avec les clients et parfois de valider des connexions.
Si un attaquant controle la messagerie, il peut tenter de reprendre d'autres comptes. C'est pour cela que la MFA sur la messagerie passe avant les outils secondaires.
Regle simple :
Toute boite mail professionnelle utilisee pour administrer des services
critiques doit avoir une MFA activee.Les facteurs a privilegier
La CNIL et l'ANSSI distinguent les facteurs d'authentification : ce que l'on sait, ce que l'on possede, ce que l'on est. En pratique TPE, tu vas surtout rencontrer :
- application d'authentification ;
- cle de securite physique ;
- notification sur telephone ;
- code SMS ;
- codes de secours.
Le SMS vaut souvent mieux que rien, mais il n'est pas le meilleur facteur dans tous les contextes. Pour les comptes vraiment critiques, une application d'authentification ou une cle de securite peut etre plus adaptee.
Ordre de deploiement
Tu peux proceder en quatre vagues.
Vague 1 - Comptes administrateurs
Active la MFA sur :
- compte administrateur Google Workspace ou Microsoft 365 ;
- console d'hebergement ;
- nom de domaine et DNS ;
- outil de facturation ;
- compte bancaire professionnel.
Ces comptes ont un impact direct sur l'activite. Ils doivent etre traites avant les outils accessoires.
Vague 2 - Donnees clients
Active ensuite la MFA sur :
- CRM ;
- stockage documentaire ;
- outil de support client ;
- outil de signature electronique ;
- gestionnaire de projet avec documents clients.
Vague 3 - Production interne
Traite les outils utilises au quotidien :
- Notion, ClickUp, Trello ou equivalent ;
- Slack ou Teams ;
- outils marketing ;
- outils de developpement si l'entreprise en utilise.
Vague 4 - Comptes restants
Finis par les comptes moins critiques. L'objectif est d'augmenter progressivement le niveau moyen sans bloquer l'equipe.
Recuperation d'acces
La MFA peut creer un autre probleme : perdre l'acces a un compte parce que le telephone est casse ou que le collaborateur est parti.
Documente au minimum :
- ou sont stockes les codes de secours ;
- qui peut recuperer un compte administrateur ;
- quel email secondaire est utilise ;
- que faire quand un collaborateur quitte l'entreprise ;
- quand renouveler les codes de secours.
Ne stocke pas les codes de secours dans le meme compte que celui qu'ils permettent de recuperer. Sinon, ils ne servent plus en cas de perte d'acces.
Exemple de tableau de suivi
| Outil | Criticite | MFA activee | Type | Codes secours | Responsable |
|---|---|---|---|---|---|
| Messagerie pro | Haute | Oui | Application | Coffre-fort | Dirigeant |
| Facturation | Haute | A faire | SMS temporaire | Non | Dirigeant |
| CRM | Moyenne | Oui | Application | Coffre-fort | Responsable commercial |
| Reseaux sociaux | Moyenne | A faire | Application | Non | Marketing |
Ce tableau suffit pour piloter une petite equipe.
Erreurs a eviter
Ne force pas tout sans preparation. Une activation MFA mal planifiee peut bloquer des comptes.
Ne depend pas d'un seul telephone personnel pour tous les comptes critiques.
Ne laisse pas les anciens collaborateurs avec des facteurs de connexion actifs.
Ne presente pas la MFA comme une protection parfaite. Elle reduit certains risques, mais ne remplace pas la vigilance, les mises a jour et la gestion des droits.
Sources
- CNIL - Authentification multifacteur : recommandations
- CNIL - Securite : utilisez l'authentification multifacteur pour vos comptes en ligne
- ANSSI - Recommandations relatives a l'authentification multifacteur et aux mots de passe
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Sources officielles ANSSI/Cybermalveillance/CNIL citees.