Si vous dirigez une entreprise de 25 personnes, on vous a sans doute dit qu'il vous fallait une authentification à deux facteurs. Le conseil s'accompagne en général d'une facture : engager un consultant en sécurité, acheter un SIEM, déployer des jetons matériels. Rien de tout cela ne convient quand votre « équipe informatique » est l'office manager qui gère aussi la paie.
Deux choses ont changé ces dernières années et font de la 2FA une mise en place de 30 minutes plutôt qu'un projet de 30 jours :
- Le TOTP (mots de passe à usage unique basés sur le temps) est devenu le standard universel. Toute application d'authentification moderne — Google Authenticator, Microsoft Authenticator, Authy, 1Password — parle le même protocole (RFC 6238). Votre équipe n'a rien de spécifique à installer.
- L'auto-inscription est désormais un minimum. Pas besoin qu'un administrateur « provisionne » la 2FA : la personne scanne un QR code dans son application d'authentification, saisit un code à 6 chiffres pour confirmer, et c'est fait. Les codes de récupération (10 codes à usage unique) couvrent le cas du téléphone perdu.
Cet article détaille le déploiement réel pour une petite entreprise. Nous serons précis sur ce qu'il faut faire cette semaine et ce qui peut attendre le trimestre prochain.
Pourquoi la 2FA compte pour les PME
Les données sont sans ambiguïté. L'équipe de renseignement sur les menaces de Microsoft indique qu'activer la MFA bloque 99,2 % des tentatives automatisées de compromission de comptes. Les 0,8 % restants nécessitent des attaques ciblées sophistiquées : kits de phishing avec relais en temps réel, SIM-swap, etc. Pour une entreprise de 25 personnes qui affronte surtout des bots de password-spraying et le bourrage d'identifiants issus de bases divulguées, la 2FA est le contrôle de sécurité au plus fort effet de levier que vous puissiez déployer.
L'équation des coûts s'est aussi inversée. Les applications SaaS (comptabilité, RH, CRM, paie) prennent toutes en charge la 2FA ; l'utiliser est gratuit. Les applications d'authentification mobiles sont gratuites. Le seul coût réel, ce sont les 30 minutes d'inscription par employé.
Le déploiement en 30 minutes (cette semaine)
Vous n'avez pas besoin d'un plan de projet. Il vous faut :
-
Une liste des applications critiques pour l'activité. Commencez par : la messagerie (Google Workspace / Microsoft 365), la comptabilité, les RH/la paie, le partage de fichiers, le gestionnaire de mots de passe (vous en avez un, n'est-ce pas ?) et votre base de données clients. C'est en général 5 à 8 systèmes pour une entreprise de 25 personnes.
-
Un court document, en trois sections :
- Pourquoi nous le faisons (1 paragraphe ; le nôtre dit : « Si notre messagerie est compromise, un attaquant peut réinitialiser tous les autres mots de passe et usurper l'identité de l'entreprise. La 2FA l'empêche. »)
- Ce que les employés doivent faire (télécharger une application d'authentification — citez les quatre principales — et suivre les invites de chaque application à la prochaine connexion)
- Que se passe-t-il si je perds mon téléphone (utiliser les codes de récupération ; s'ils sont épuisés, contacter l'office manager qui réinitialisera votre 2FA)
-
Une réunion plénière de 15 minutes pour tout présenter. Le meilleur prédicteur de réussite du déploiement, c'est que la direction ait visiblement activé la 2FA avant tout le monde.
Après la réunion, laissez deux semaines à chacun. Puis auditez : quels employés n'ont toujours pas la 2FA sur les applications indispensables ? Deux semaines de répit supplémentaires, puis commencez à l'imposer.
À quoi s'attendre en cas de téléphone perdu
Les codes de récupération sont la réponse. Ce sont 10 codes à usage unique affichés UNE seule fois lors de la configuration de la 2FA. L'utilisateur les imprime, en fait une capture dans son gestionnaire de mots de passe, ou les deux.
Quand un téléphone casse ou est perdu :
- L'utilisateur se connecte avec son e-mail et son mot de passe.
- Au lieu de saisir le code de l'authentificateur, il saisit l'un des codes de récupération.
- Il obtient un accès complet. Le code de récupération utilisé est invalidé.
- Il réinscrit la 2FA sur le nouveau téléphone (le système le permet une fois connecté).
Plus de codes de récupération ? C'est là qu'un administrateur doit désactiver manuellement la 2FA sur le compte de l'utilisateur ; celui-ci se connecte avec le seul mot de passe, puis réinscrit la 2FA. Prévoyez environ 1 cas de ce type par trimestre pour une équipe de 25 personnes.
Ce qu'il faut éviter
- La 2FA par SMS. Le SMS vaut mieux que rien, mais les attaques de SIM-swap l'ont rendu peu fiable. Utilisez le TOTP (application d'authentification) dès que possible. Beaucoup d'applications proposent les deux — choisissez le TOTP.
- Les jetons 2FA partagés. Si trois personnes partagent un seul compte administrateur Google Workspace, la tentation est de partager le jeton 2FA. Ne le faites pas. Créez des comptes administrateur distincts.
- Imposer une application d'authentification précise. Laissez chacun utiliser celle qu'il veut — Google, Microsoft, Authy, 1Password fonctionnent toutes. En imposer une crée de la résistance.
- Désactiver la 2FA sur des comptes individuels par complaisance. Le vecteur de compromission le plus fréquent dans les PME est le dirigeant dont la 2FA a été « temporairement désactivée » parce qu'il voyageait et n'a jamais été réactivée. Ne le faites pas.
Quand cette approche atteint ses limites
Vers 50 à 100 employés, le modèle « office manager qui fait l'informatique » s'effondre. Symptômes :
- Plusieurs demandes d'aide par semaine concernant des téléphones perdus
- Une application incohérente d'une équipe à l'autre
- L'arrivée/le départ des collaborateurs devient une checklist que personne ne suit
C'est là qu'il vous faut soit une personne dédiée à l'informatique, soit un outil qui gère l'inscription, la récupération et l'audit de façon centralisée — généralement appelé fournisseur d'identité (IdP), comme Okta, Microsoft Entra ou JumpCloud. Le coût est en général de 5 à 10 $ par employé et par mois.
Si vous utilisez SVDY, le travail d'IdP est intégré : provisionnement via SCIM, SSO SAML et gestion centralisée de la 2FA sont inclus dans la plateforme à partir de l'offre Pro. Vous obtenez la couche d'identité centralisée sans payer pour deux systèmes.
En résumé
Pour une entreprise de 25 personnes en 2026 : la 2FA basée sur le TOTP est un déploiement de 30 minutes qui bloque 99 % des attaques sur les identifiants, ne coûte rien en logiciel, et la seule vraie friction est le cas du téléphone perdu, géré par les codes de récupération. Il n'y a pratiquement aucune excuse pour ne pas le faire.
Choisissez une date dans les deux prochaines semaines. Envoyez l'invitation à la réunion plénière dès aujourd'hui.
