16 septembre 2025

Guide d'évaluation d'une solution d'authentification multifacteur

Ce qu'il faut vraiment comparer pour choisir une MFA : confiance, contrôle, réglementation, coût total de possession et expérience utilisateur.

Choisir une solution d’authentification multifacteur, c’est une décision qui vous engage pour dix ans, déguisée en simple case à cocher d’un appel d’offres. Ce guide passe en revue les questions qui distinguent les solutions qui vous protègent sans bruit de celles qui deviendront, tout aussi discrètement, votre prochain chantier de migration.

La confiance

Faites confiance au modèle de sécurité. Les solutions fondées sur la cryptographie à clé publique offrent de meilleures garanties que les schémas à secret partagé : il n’existe aucun coffre central de secrets à forcer, et rien que les deux parties connaîtraient en commun. Méfiez-vous de la cryptographie propriétaire : privilégiez des fondations ouvertes et auditées.

Connaissez les fondations technologiques. Où les clés sont-elles générées ? Où sont-elles stockées ? Une clé créée et conservée dans l’élément matériel du téléphone ne peut être ni exportée ni clonée ; une graine transmise par QR code lors de l’enrôlement n’est jamais plus sûre que ce mode de transmission.

Demandez-vous qui garde le contrôle

Sur site ou en SaaS. Où la solution s’exécute-t-elle, et qu’advient-il de votre authentification si le fournisseur subit une panne, ou une compromission ? Si le régulateur vous demande où résident vos données d’authentification, disposez-vous d’une réponse que vous maîtrisez ?

Des communications auditables. Pouvez-vous observer et vérifier ce que la solution transmet sur le réseau ? La vérification des transactions est ici déterminante : l’utilisateur doit voir ce qu’il approuve, et l’approbation doit être liée cryptographiquement à cela précisément.

N’oubliez pas la réglementation

Où les données seront-elles stockées, et devez-vous seulement confier des données personnelles au fournisseur ? Pour les organisations de l’UE, le RGPD rend la question très concrète. Dans la fintech, les exigences d’authentification forte du client et de liaison dynamique de la PSD2 déterminent quelles solutions sont même éligibles. Des exigences de résilience et de disponibilité peuvent aussi s’appliquer. La solution peut-elle fonctionner de façon redondante sous votre contrôle ?

Le coût total de possession

Les frais de licence n’en sont que la partie visible. Comptez aussi :

  • Les dépendances produit : la solution exige-t-elle d’autres produits, annuaires ou matériels dont vous ne disposez pas encore ?
  • Les frais de maintenance et les montées de version.
  • Les coûts humains : administration au quotidien, assistance aux utilisateurs et formation.
  • Le délai de déploiement : chaque semaine d’installation, c’est de la masse salariale dépensée avant que la moindre protection n’existe.
  • Les coûts d’opportunité : la solution conviendra-t-elle encore lorsque vous ajouterez la signature de documents, de nouvelles applications ou l’afflux d’utilisateurs d’une fusion ?

Méfiez-vous des SMS

Les codes SMS peuvent être interceptés, détournés par échange de carte SIM et hameçonnés, et ils ne conservent aucune trace de ce que l’utilisateur a réellement vu au moment d’approuver. Les régulateurs l’ont remarqué. Si le SMS est aujourd’hui votre second facteur, considérez-le comme une étape de transition, non comme une destination.

L’expérience utilisateur décide de tout

Une sécurité qui agace les utilisateurs finit contournée. Un contrôle contourné est pire que pas de contrôle du tout, car il s’affiche au vert dans le rapport de conformité. Comparez l’expérience matérielle (que doivent transporter les utilisateurs ?), l’expérience logicielle (combien de touchers ? combien de cas d’échec ?) et l’expérience de l’administrateur (combien de temps faut-il réellement pour enrôler un utilisateur ?). La confidentialité fait aussi partie de l’expérience : une solution qui accumule les données des utilisateurs crée son propre risque.

Et ensuite ?

N’importe quelle sécurité vaut mieux que pas de sécurité, mais les coûts de migration sont bien réels, alors choisissez une solution que vous ne dépasserez pas trop vite. Évaluez-la dans votre propre environnement au moyen d’un pilote : un vrai VPN, une vraie application, une poignée de vrais utilisateurs. Cela vous en apprendra plus en une semaine qu’une grille de fonctionnalités en un trimestre.

← Tous les articles

Votre première connexion sans mot de passe, dès cette semaine

30 minutes avec un ingénieur, pas une présentation commerciale. Ensemble, nous verrons comment lancer un pilote fonctionnel dans votre environnement VPN, SSO ou Windows.