Une
interview de Gaëlle Tilloy, Avocate à la Cour, spécialiste des nouvelles
technologies et des données personnelles et Marc Schmitt, Consultant senior
cybersécurité chez Sasety, partenaire
de Silverfort.
Qu’est-ce que la MFA ?
Gaëlle Tilloy : L’authentification multi
facteur, ou MFA, est une méthode de sécurité qui vise à renforcer la protection
des systèmes informatiques en combinant plusieurs éléments permettant de
vérifier l'identité d'un utilisateur. Contrairement à une authentification
classique reposant sur un simple mot de passe, la MFA exige au minimum deux
facteurs distincts parmi les trois suivants :
1) un facteur de
connaissance
(ex. : mot de passe, code),
2) un facteur de
possession
(ex. : téléphone, jeton),
3) un facteur
d’inhérence
(ex. : empreinte digitale, reconnaissance faciale).
Cette approche permet
de rendre les accès illicites beaucoup plus difficiles, même en cas de
compromission d’un des facteurs. La MFA s’inscrit ainsi dans une stratégie de
défense en profondeur, attendue aujourd’hui dans de nombreux contextes
sensibles.
Pourquoi la CNIL
a-t-elle publié une recommandation spécifique sur la MFA ?
Gaëlle Tilloy : La CNIL a constaté que
les mots de passe seuls ne suffisent plus à assurer un niveau de sécurité
adapté face à l’explosion des cyberattaques. Le RGPD impose de garantir un
niveau de sécurité proportionné au risque. Dans cette logique, la MFA apparaît
comme une mesure de base incontournable dans certains contextes. La
recommandation du 20 mars 2025 permet de clarifier les attentes réglementaires,
tout en guidant les organismes sur les modalités concrètes d’implémentation.
Marc Schmitt : Dans notre activité
chez Sasety, nous avons constaté à quel point les entreprises sont en demande
d’un cadre clair. La recommandation de la CNIL est précieuse pour définir une
ligne directrice. Nous avons choisi de nous appuyer sur la solution Silverfort,
qui permet de déployer la MFA même sur des environnements existants, sans
nécessiter de refonte applicative. Silverfort apporte une couverture large et
cohérente, compatible avec les attentes du RGPD et des normes sectorielles
telles que NIS2 ou DORA.
Dans quels cas
l’activation de la MFA est-elle requise selon la CNIL ?
Gaëlle Tilloy : Le recours à la MFA
doit être guidé par le niveau de risque. Il n’est pas recommandé de l’appliquer
de manière systématique et indiscriminée. Cependant, certains cas exigent un
niveau de sécurité renforcé : les traitements de données sensibles (santé, données
financières…), les accès à distance ou aux interfaces d’administration. La CNIL
rappelle ici le principe de proportionnalité inscrit dans le RGPD.
Marc Schmitt : La force de
Silverfort, c’est de proposer à la fois des règles statiques, par exemple
imposer la MFA pour les accès aux serveurs Tier 0 et des règles dynamiques.
Celles-ci s’activent en fonction du contexte : détection d’un nouveau terminal,
comportement inhabituel, changement de localisation, etc. Cette capacité à
orchestrer la MFA de façon intelligente est une réponse directe aux attentes
exprimées par la CNIL.
Quels sont les grands
principes du RGPD à respecter dans un projet de MFA ?
Gaëlle Tilloy : La mise en place de la
MFA est un traitement de données personnelles. À ce titre, elle doit respecter
l’ensemble des obligations du RGPD, notamment :
• La définition d’une base légale claire,
généralement l’intérêt légitime ;
• La minimisation des données : inutile de
collecter un numéro de téléphone si une autre solution est possible ;
• Une conservation limitée des données
d’authentification ;
• Et le respect des droits des personnes
concernées, notamment l’information, l’accès, ou l’opposition.
Marc Schmitt : Silverfort est
conforme à ces principes. La solution fonctionne sans base d’identité propre,
s’appuie sur l’existant (Active Directory, LDAP…) et ne collecte que les
métadonnées nécessaires à l’analyse des accès. Les paramètres de conservation
sont ajustables. Nous aidons aussi nos clients à documenter leur conformité, ce
qui est aujourd’hui essentiel, notamment pour anticiper les audits dans le
cadre de NIS2 ou DORA.
Comment qualifier les
acteurs impliqués dans une solution de MFA ?
Gaëlle Tilloy : La qualification des
parties, responsable de traitement ou sous-traitant, dépend de leur rôle dans
le traitement des données. Le responsable définit les finalités et les moyens
essentiels du traitement. Le sous-traitant agit pour le compte du responsable.
Cette distinction est importante pour déterminer les obligations contractuelles
et documentaires à respecter.
Marc Schmitt : La solution Silverfort
peut être déployée dans différents modèles : On-Premise, SaaS ou hybride. Cela
permet de s’adapter aux exigences du client et de bien délimiter les
responsabilités entre les acteurs. Nous aidons les clients à intégrer ces
questions dans leurs analyses d’impact et dans les contrats avec leurs
prestataires.
Quelles précautions
faut-il prendre concernant la biométrie ?
Gaëlle Tilloy : Le recours à la
biométrie, qui repose sur des données sensibles, nécessite un cadre strict :
consentement explicite, finalité déterminée, sécurité renforcée. Il ne peut
s’agir d’un usage par défaut ou massif, et des alternatives doivent toujours
être envisagées.
Marc Schmitt : Silverfort permet
d’intégrer de nombreux facteurs d’authentification, dont les classiques comme
TOTP ou FIDO2. Cela permet de proposer une MFA robuste, sans recourir à des
méthodes plus intrusives sauf en cas de stricte nécessité.
Comment garantir la
sécurité de la MFA elle-même ?
Gaëlle Tilloy : La CNIL renvoie aux
recommandations de l’ANSSI, notamment à l’usage de composants qualifiés et à
l’authentification via un canal sécurisé. Il est essentiel que les preuves de
possession soient dynamiques et que les facteurs utilisés reposent sur des mécanismes
éprouvés.
Marc Schmitt : Silverfort respecte
ces exigences techniques. Elle implémente des mécanismes robustes, suit les
recommandations ANSSI comme R11 (authentification via canal sécurisé). Cela
permet de sécuriser à la fois le processus d’authentification et les données
manipulées tout au long du parcours utilisateur.
Quels sont les risques
en cas d’absence ou de mauvaise mise en œuvre de la MFA ?
Gaëlle Tilloy : Une absence de MFA
dans un contexte à risque peut constituer un manquement à l’obligation de
sécurité prévue par le RGPD. En cas d’incident, cela peut conduire à des
sanctions, notamment financières, de la part de la CNIL. La responsabilité du
responsable de traitement ou du
sous-traitant peut également être engagée.
Marc Schmitt : Du point de vue
opérationnel, une mauvaise gestion des accès est l’un des premiers vecteurs
d’intrusion. Un mot de passe compromis peut suffire à accéder à des ressources
critiques. La MFA permet de réduire considérablement ce risque. Chez SASETY,
nous la considérons comme un standard de sécurité indispensable, en particulier
pour répondre aux exigences croissantes des régulateurs européens.
Conclusion : en quoi la
MFA s’impose-t-elle aujourd’hui comme un standard ?
Gaëlle Tilloy : La MFA est devenue une
mesure de sécurité essentielle, car elle apporte une réponse efficace et
mesurable aux menaces actuelles. Elle est adaptée, proportionnée et conforme au
RGPD si elle est bien mise en œuvre. C’est une étape clé dans la gestion du risque
cyber.
Marc Schmitt : Grâce à des solutions comme Silverfort, la MFA n’est plus un casse-tête technique. Elle devient un levier d’efficacité pour les équipes IT et un gage de conformité pour les directions juridiques et sécurité. Notre rôle chez Sasety est d’accompagner nos clients dans cette transition, de manière pragmatique et opérationnelle.