MFA et NIS2 : les exigences d'authentification multifactorielle
L'article 21.2.j de la directive NIS2 impose l'utilisation de l'authentification multifactorielle (MFA). Périmètre, technologies, déploiement : guide technique complet.
Ce que NIS2 exige
L'article 21.2.j mentionne explicitement l'utilisation de solutions d'authentification multifacteur ou d'authentification continue, de communications vocales, video et textuelles securisees, et de systèmes de communication d'urgence securises. Le ReCyF (pilier Protection) reprend cette exigence.
Ou déployér le MFA ?
- Accès VPN et accès distants : tout accès a distance au SI doit être protege par MFA
- Comptes a privileges : administrateurs système, bases de donnees, Active Directory
- Messagerie : accès aux boites mail (vecteur n1 de compromission)
- Applications metier critiques : ERP, SIRH, outils financiers
- Console cloud : AWS, Azure, GCP, O365 admin
- Accès physique aux salles serveurs et datacenters (quand applicable)
Technologies MFA
| Technologie | Sécurité | Usage |
|---|---|---|
| FIDO2 / WebAuthn (cle physique) | Tres élevée | Comptes a privileges, admins |
| Application TOTP (Google Auth, Microsoft Auth) | Élevée | Tous les collaborateurs |
| Push notification | Élevée | Usage courant, bonne UX |
| SMS OTP | Moyenne (interceptable) | A éviter si possible |
Plan de déploiement recommande
- Phase 1 : comptes admin et accès VPN (immédiat)
- Phase 2 : messagerie et applications cloud (1-2 mois)
- Phase 3 : tous les collaborateurs sur les applications critiques (3-6 mois)
- Phase 4 : accès physique, systèmes industriels (si applicable)
Le MFA est l'une des mesures les plus efficaces et les plus rapides a déployér. C'est souvent la première recommandation de l'ANSSI pour les entités en debut de démarche de conformité. Voir les 10 mesures de l'article 21 et le guide complet.
Sources
- Directive (UE) 2022/2555, article 21.2.j
- ReCyF, pilier Protection, mars 2026
- ANSSI, guide MFA, cyber.gouv.fr