Une interview de Gaëlle TILLOY, Avocate à la Cour, spécialiste des nouvelles technologies et des données personnelles et Marc SCHMITT, Consultant senior cybersécurité chez SASETY, partenaire de Silverfort.

Qu’est-ce que la MFA ?

Gaëlle TILLOY : L’authentification multifacteur, ou MFA, est une méthode de sécurité qui vise à renforcer la protection des systèmes informatiques en combinant plusieurs éléments permettant de vérifier l'identité d'un utilisateur. Contrairement à une authentification classique reposant sur un simple mot de passe, la MFA exige au minimum deux facteurs distincts parmi les trois suivants :

1) un facteur de connaissance (ex. : mot de passe, code),

2) un facteur de possession (ex. : téléphone, jeton),

3) un facteur d’inhérence (ex. : empreinte digitale, reconnaissance faciale).

Cette approche permet de rendre les accès illicites beaucoup plus difficiles, même en cas de compromission d’un des facteurs. La MFA s’inscrit ainsi dans une stratégie de défense en profondeur, attendue aujourd’hui dans de nombreux contextes sensibles.

Pourquoi la CNIL a-t-elle publié une recommandation spécifique sur la MFA ?

Gaëlle TILLOY : La CNIL a constaté que les mots de passe seuls ne suffisent plus à assurer un niveau de sécurité adapté face à l’explosion des cyberattaques. Le RGPD impose de garantir un niveau de sécurité proportionné au risque. Dans cette logique, la MFA apparaît comme une mesure de base incontournable dans certains contextes. La recommandation du 20 mars 2025 permet de clarifier les attentes réglementaires, tout en guidant les organismes sur les modalités concrètes d’implémentation.

Marc SCHMITT : Dans notre activité chez SASETY, nous avons constaté à quel point les entreprises sont en demande d’un cadre clair. La recommandation de la CNIL est précieuse pour définir une ligne directrice. Nous avons choisi de nous appuyer sur la solution Silverfort, qui permet de déployer la MFA même sur des environnements existants, sans nécessiter de refonte applicative. Silverfort apporte une couverture large et cohérente, compatible avec les attentes du RGPD et des normes sectorielles telles que NIS2 ou DORA.

Dans quels cas l’activation de la MFA est-elle requise selon la CNIL ?

Gaëlle TILLOY : Le recours à la MFA doit être guidé par le niveau de risque. Il n’est pas recommandé de l’appliquer de manière systématique et indiscriminée. Cependant, certains cas exigent un niveau de sécurité renforcé : les traitements de données sensibles (santé, données financières…), les accès à distance ou aux interfaces d’administration. La CNIL rappelle ici le principe de proportionnalité inscrit dans le RGPD.

Marc SCHMITT : La force de Silverfort, c’est de proposer à la fois des règles statiques, par exemple imposer la MFA pour les accès aux serveurs Tier 0 et des règles dynamiques. Celles-ci s’activent en fonction du contexte : détection d’un nouveau terminal, comportement inhabituel, changement de localisation, etc. Cette capacité à orchestrer la MFA de façon intelligente est une réponse directe aux attentes exprimées par la CNIL.

Quels sont les grands principes du RGPD à respecter dans un projet de MFA ?

Gaëlle TILLOY : La mise en place de la MFA est un traitement de données personnelles. À ce titre, elle doit respecter l’ensemble des obligations du RGPD, notamment :

• La définition d’une base légale claire, généralement l’intérêt légitime ;
• La minimisation des données : inutile de collecter un numéro de téléphone si une autre solution est possible ;
• Une conservation limitée des données d’authentification ;
• Et le respect des droits des personnes concernées, notamment l’information, l’accès, ou l’opposition.

Marc SCHMITT : Silverfort est conforme à ces principes. La solution fonctionne sans base d’identité propre, s’appuie sur l’existant (Active Directory, LDAP…) et ne collecte que les métadonnées nécessaires à l’analyse des accès. Les paramètres de conservation sont ajustables. Nous aidons aussi nos clients à documenter leur conformité, ce qui est aujourd’hui essentiel, notamment pour anticiper les audits dans le cadre de NIS2 ou DORA.

Comment qualifier les acteurs impliqués dans une solution de MFA ?

Gaëlle TILLOY : La qualification des parties, responsable de traitement ou sous-traitant, dépend de leur rôle dans le traitement des données. Le responsable définit les finalités et les moyens essentiels du traitement. Le sous-traitant agit pour le compte du responsable. Cette distinction est importante pour déterminer les obligations contractuelles et documentaires à respecter.

Marc SCHMITT : La solution Silverfort peut être déployée dans différents modèles : On-Premise, SaaS ou hybride. Cela permet de s’adapter aux exigences du client et de bien délimiter les responsabilités entre les acteurs. Nous aidons les clients à intégrer ces questions dans leurs analyses d’impact et dans les contrats avec leurs prestataires.

Quelles précautions faut-il prendre concernant la biométrie ?

Gaëlle TILLOY : Le recours à la biométrie, qui repose sur des données sensibles, nécessite un cadre strict : consentement explicite, finalité déterminée, sécurité renforcée. Il ne peut s’agir d’un usage par défaut ou massif, et des alternatives doivent toujours être envisagées.

Marc SCHMITT : Silverfort permet d’intégrer de nombreux facteurs d’authentification, dont les classiques comme TOTP ou FIDO2. Cela permet de proposer une MFA robuste, sans recourir à des méthodes plus intrusives sauf en cas de stricte nécessité.

Comment garantir la sécurité de la MFA elle-même ?

Gaëlle TILLOY : La CNIL renvoie aux recommandations de l’ANSSI, notamment à l’usage de composants qualifiés et à l’authentification via un canal sécurisé. Il est essentiel que les preuves de possession soient dynamiques et que les facteurs utilisés reposent sur des mécanismes éprouvés.

Marc SCHMITT : Silverfort respecte ces exigences techniques. Elle implémente des mécanismes robustes, suit les recommandations ANSSI comme R11 (authentification via canal sécurisé). Cela permet de sécuriser à la fois le processus d’authentification et les données manipulées tout au long du parcours utilisateur.

Quels sont les risques en cas d’absence ou de mauvaise mise en œuvre de la MFA ?

Gaëlle TILLOY : Une absence de MFA dans un contexte à risque peut constituer un manquement à l’obligation de sécurité prévue par le RGPD. En cas d’incident, cela peut conduire à des sanctions, notamment financières, de la part de la CNIL. La responsabilité du responsable de traitement ou du sous-traitant peut également être engagée.

Marc SCHMITT : Du point de vue opérationnel, une mauvaise gestion des accès est l’un des premiers vecteurs d’intrusion. Un mot de passe compromis peut suffire à accéder à des ressources critiques. La MFA permet de réduire considérablement ce risque. Chez SASETY, nous la considérons comme un standard de sécurité indispensable, en particulier pour répondre aux exigences croissantes des régulateurs européens.

Conclusion : en quoi la MFA s’impose-t-elle aujourd’hui comme un standard ?

Gaëlle TILLOY : La MFA est devenue une mesure de sécurité essentielle, car elle apporte une réponse efficace et mesurable aux menaces actuelles. Elle est adaptée, proportionnée et conforme au RGPD si elle est bien mise en œuvre. C’est une étape clé dans la gestion du risque cyber.

Marc SCHMITT : Grâce à des solutions comme Silverfort, la MFA n’est plus un casse-tête technique. Elle devient un levier d’efficacité pour les équipes IT et un gage de conformité pour les directions juridiques et sécurité. Notre rôle chez SASETY est d’accompagner nos clients dans cette transition, de manière pragmatique et opérationnelle.

Pour aller plus loin :

• Recommandation CNIL du 20 mars 2025 sur l'authentification multifacteur.pdf
• Guide ANSSI : Recommandations relatives à l'authentification multifacteur et aux mots de passe
• https://www.cnil.fr/fr/le-controle-dacces-biometrique-sur-les-lieux-de-travail
• https://www.sasety.com/avis-d-expert-comment-proteger-efficacement-ses-identites-et-l-acces-a-ses-ressources-it