14/07/2026

MFA sur Microsoft 365 : pourquoi c’est la première chose à activer

La double authentification reste la mesure la plus rentable en cybersécurité PME : peu de coût, peu de friction, impact énorme sur le risque de compromission.

Sur la majorité des audits Microsoft 365 que je réalise, le constat est le même : la boîte mail du dirigeant ou de la comptabilité n’est protégée que par un mot de passe, parfois réutilisé ailleurs. C’est aujourd’hui le point d’entrée numéro un des attaques par compromission de messagerie (fraude au président, faux virements, phishing interne).

Pourquoi le mot de passe seul ne suffit plus

Les fuites de mots de passe (via d’autres services piratés) circulent en masse sur des bases de données publiques. Un attaquant n’a pas besoin de deviner votre mot de passe : il a de bonnes chances de le retrouver tel quel.

Ce que change le MFA

Avec la double authentification (MFA), même un mot de passe compromis ne suffit plus à se connecter. C’est la mesure avec le meilleur rapport effort/impact en cybersécurité PME : quelques heures de mise en place pour une réduction massive du risque de compromission de compte.

Points de vigilance à la mise en place

  • Prioriser les comptes à privilèges (direction, comptabilité, administrateurs IT).
  • Éviter le MFA par SMS quand c’est possible (moins robuste qu’une application d’authentification).
  • Prévoir une procédure de secours pour les utilisateurs qui perdent l’accès à leur second facteur.
  • Accompagner le déploiement d’une communication claire pour éviter le rejet côté utilisateurs.

Si ce n’est pas encore activé sur votre tenant Microsoft 365, c’est probablement l’action la plus rentable à traiter avant toute autre chose.