MFA Microsoft 365 : pourquoi c'est indispensable en 2025

Si vous ne faites qu'une seule chose pour sécuriser votre environnement Microsoft 365, c'est activer le MFA sur tous vos comptes. Pas seulement les admins. Pas seulement les comptes sensibles. Tous les comptes.

Microsoft estime que le MFA bloque plus de 99 % des attaques de compromission de comptes. Ce n'est pas une approximation — c'est basé sur des millions d'incidents analysés sur leurs infrastructures.

Les chiffres qui font réfléchir

En 2024, les attaques par credential stuffing et phishing sur les tenants Microsoft 365 ont explosé. Les raisons sont simples : les identifiants compromis se vendent pour quelques euros sur des forums spécialisés, et les outils d'attaque automatisés sont accessibles à n'importe qui.

• Plus de 300 millions de tentatives de connexion frauduleuses sont bloquées chaque jour sur les infrastructures Microsoft.
• Un compte sans MFA compromis donne accès aux emails, fichiers SharePoint, Teams, et parfois aux systèmes connectés via SSO.
• Le délai moyen de détection d'une compromission de compte est de 197 jours — le temps que l'attaquant exfiltre ce dont il a besoin.

Comment fonctionne une attaque sans MFA

Le scénario le plus courant ne ressemble pas à un film de hackers. C'est bien plus banal.

Un employé utilise le même mot de passe sur plusieurs services. L'un de ces services subit une fuite de données. Son identifiant et son mot de passe se retrouvent dans une base compromise vendue en ligne. Un script automatisé teste ces identifiants sur les portails Microsoft 365 de milliers d'entreprises. Sans MFA, la connexion réussit.

• Credential stuffing — test automatisé de milliers d'identifiants volés sur d'autres services.
• Phishing — fausse page de connexion Microsoft qui capture les identifiants en temps réel et les rejoue immédiatement.
• Password spray — tentative avec quelques mots de passe très courants (Automne2024!, Entreprise123) sur un grand nombre de comptes pour éviter les blocages.

Dans tous ces cas, le MFA casse la chaîne d'attaque. Même avec le bon mot de passe, l'attaquant ne peut pas aller plus loin.

Toutes les méthodes MFA ne se valent pas

Activer le MFA c'est bien. Choisir la bonne méthode, c'est mieux. Il existe un écart significatif de protection entre les différentes options disponibles dans Microsoft 365.

• SMS et appel téléphonique — la méthode la plus faible. Vulnérable au SIM swapping (vol de numéro auprès de l'opérateur) et à l'interception SS7. À éviter si possible, mais toujours mieux que rien.
• Application Authenticator avec notification push — bonne protection au quotidien. Attention au MFA fatigue : un attaquant qui a le mot de passe peut spammer des notifications en espérant que l'utilisateur accepte par erreur.
• Application Authenticator avec code TOTP — plus résistant que le push. L'utilisateur doit saisir activement le code, ce qui réduit les acceptations accidentelles.
• Clés FIDO2 / Windows Hello — le niveau de protection le plus élevé. Résistant au phishing par design — la clé ne fonctionne que sur le domaine légitime. Recommandé pour les comptes admin et les profils à risque élevé.

Les excuses qu'on entend le plus souvent

Dans les PME, les résistances au MFA sont prévisibles. Les voici, avec ce qu'on peut y répondre.

• "C'est trop contraignant pour les utilisateurs" — avec les sessions persistantes et les appareils de confiance, un utilisateur ne se reconnecte avec MFA qu'une fois par semaine en moyenne sur ses appareils habituels.
• "On est une petite structure, personne ne va nous attaquer" — les attaques automatisées ne font pas de sélection. Elles testent tous les tenants accessibles, quelle que soit la taille de l'entreprise.
• "On a déjà un bon antivirus" — l'antivirus ne protège pas contre une connexion légitime avec des identifiants volés. Ce sont deux surfaces d'attaque distinctes.
• "On verra si on se fait attaquer" — à ce moment-là, le coût est incomparablement plus élevé que la mise en place du MFA.

Comment activer le MFA sur Microsoft 365

Il existe plusieurs façons d'activer le MFA sur un tenant M365, avec des niveaux de contrôle différents.

• Security Defaults — la solution la plus simple pour les tenants sans licences Azure AD Premium. Active le MFA pour tous automatiquement, sans configuration fine possible. Suffisant pour une PME qui part de zéro.
• Conditional Access — la méthode recommandée dès que vous avez des licences Microsoft 365 Business Premium ou Azure AD P1. Permet de définir précisément qui, quand et comment le MFA est requis. Plus flexible, plus puissant.
• MFA par utilisateur (legacy) — l'ancienne méthode, à éviter sur les nouveaux déploiements. Elle est moins intégrée avec les mécanismes modernes d'Entra ID.

Vérifier que tout le monde est bien protégé

C'est le point le plus souvent négligé. Activer une politique MFA ne garantit pas que tous les utilisateurs ont complété leur enregistrement. Un compte avec MFA "activé" mais sans méthode configurée peut souvent se connecter sans vérification supplémentaire pendant la période de grâce.

• Rapport d'enregistrement MFA — disponible dans Entra admin center, il liste tous les utilisateurs avec leur statut d'enregistrement réel.
• Forcer l'enregistrement — via une policy Conditional Access qui redirige vers l'enregistrement MFA si aucune méthode n'est configurée.
• Audit régulier — le périmètre évolue. Nouveaux collaborateurs, comptes de service ajoutés en urgence, réorganisations. Un audit trimestriel du statut MFA évite les oublis.