📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Authentification multifacteur (MFA) : un nouveau standard de sécurité attendu dès 2026

Actualités RGPD

Sommaire

À partir de 2026, la sécurité des accès aux données personnelles entre dans une nouvelle phase.
La CNIL considère désormais que le simple mot de passe ne suffit plus pour protéger des données sensibles. L’authentification multifacteur (MFA) devient un standard de sécurité attendu, en particulier pour les organismes manipulant des informations à risque.

Sans créer une loi nouvelle, la CNIL renforce clairement ses exigences : ne pas utiliser la MFA pour des systèmes sensibles sera de plus en plus difficile à justifier, notamment en cas de contrôle.

Cette mesure, vise à réduire les intrusions, limiter le vol d’identifiants et renforcer la confiance numérique des organisations publiques comme privées.

Cet article vous explique simplement :

  • pourquoi la MFA devient incontournable,
  • ce que recommande la CNIL,
  • les risques en cas d’absence de MFA,
  • et comment la mettre en place efficacement.

Pourquoi le mot de passe seul ne suffit plus

Aujourd’hui, la majorité des cyberattaques commencent de la même manière : un identifiant et un mot de passe volés.

Il peut s’agir :

  • d’un mot de passe trop simple,
  • d’un compte partagé entre collègues,
  • d’un ordinateur laissé ouvert,
  • ou d’un faux mail qui piège un utilisateur.

Une fois le mot de passe récupéré, l’attaquant peut accéder aux données en quelques minutes.

L’authentification multifacteur (MFA) ajoute une protection supplémentaire : même si le mot de passe est compromis, l’accès reste bloqué sans une seconde preuve d’identité.

C’est pour cette raison que la CNIL considère désormais la MFA comme une mesure de sécurité de référence, notamment pour :

  • les données de santé,
  • les données sociales,
  • les données concernant des personnes vulnérables,
  • ou les systèmes contenant un volume important d’informations personnelles.).

Ce que recommande concrètement la CNIL

Dans sa recommandation de mars 2024, la CNIL indique clairement qu’un seul facteur d’authentification (le mot de passe) n’est plus suffisant pour accéder à des données sensibles.

Elle recommande de combiner au moins deux catégories différentes, par exemple :

  • Ce que l’on sait : mot de passe, code PIN
  • Ce que l’on possède : téléphone, application d’authentification, clé de sécurité
  • Ce que l’on est : empreinte digitale, reconnaissance faciale (utilisée localement)

Cette approche repose sur l’article 32 du RGPD, qui impose aux organisations de mettre en place des mesures de sécurité adaptées au niveau de risque.

À partir de 2026, l’absence de MFA sur des systèmes sensibles pourra être considérée comme un manquement à l’obligation de sécurité, notamment lors d’un contrôle de la CNIL.

Cet article pourrait aussi vous intéresser : Authentification multifacteur : ce que recommande la CNIL

La MFA est-elle vraiment sûre ? Oui, si elle est bien utilisée

La MFA est très efficace, mais comme toute mesure de sécurité, elle peut être contournée si elle est mal configurée ou mal comprise.

Le détournement des codes SMS

C’est l’une des attaques les plus répandues contre la MFA basée sur le SMS.
Le pirate contacte l’opérateur de sa victime et demande un transfert du numéro vers une nouvelle carte SIM, prétextant une perte ou un vol. Une fois la ligne transférée, tous les codes envoyés par SMS sont redirigés vers le téléphone du pirate.

Contre-mesure : délaisser le SMS pour une application d’authentification dédiée, éviter de publier des informations personnelles exploitables (numéro, date de naissance…), et sensibiliser les utilisateurs à ce type de fraude.

Les manipulations par téléphone ou par mail

Les mots de passe à usage unique (OTP) sont souvent générés par application.
Un attaquant peut appeler sa victime en se faisant passer pour un agent de support et lui demander le code affiché à l’écran ou créer un faux portail de connexion qui capture le code et le mot de passe simultanément.

Contre-mesure :

  • activer une expiration très courte des OTP (moins de 30 secondes),
  • utiliser des solutions qui associent OTP et géolocalisation ou empreinte du terminal,
  • former les utilisateurs à ne jamais communiquer un code, même à un “technicien”.

Le vol de session déjà ouverte

Technique plus avancée : une fois connecté, le navigateur crée un cookie de session évitant de se reconnecter sans cesse. Les pirates exploitent cet élément de confort pour voler le cookie et copier la session authentifiée. Résultat : ils accèdent aux services sans repasser par la MFA.
Certaines attaques déposent même un cookie piégé pour piéger la future authentification.

Contre-mesure :

  • réduire la durée de vie des cookies et tokens,
  • vérifier la cohérence IP / géolocalisation / terminal,
  • forcer une nouvelle authentification après un certain délai ou en cas d’anomalie.

L’attaque de fatigue MFA

De plus en plus courante avec les solutions Mobile Push, cette attaque consiste à envoyer de multiples notifications à l’utilisateur jusqu’à ce qu’il cède et accepte une demande non sollicitée.
Une simple distraction suffit à ouvrir la porte à l’intrusion.

Contre-mesure :

  • les solutions Push doivent afficher le contexte (heure, lieu, ressource demandée),
  • sensibiliser les utilisateurs à rejeter toute demande inattendue,
  • activer des alertes en cas de multiples demandes rejetées.

Ces méthodes exploitent avant tout un manque de vigilance humaine. Un système MFA bien configuré reste sûr à condition que les utilisateurs sachent l’utiliser.

Ce que la mise en place de la MFA implique pour une organisation

Installer une MFA n’est pas seulement une question technique. C’est une démarche globale.

Concrètement, il faut :

  • choisir une solution simple et adaptée (application, clé, biométrie),
  • prévoir une solution de secours en cas de perte de téléphone,
  • protéger tous les accès sensibles (logiciels métier, messagerie, interfaces d’administration),
  • intégrer la MFA dans la politique de sécurité et la documentation RGPD.

Mais surtout, il faut accompagner les utilisateurs :

  • expliquer pourquoi la MFA est mise en place,
  • montrer comment l’utiliser,
  • rassurer sur son fonctionnement.

Cet article pourrait aussi vous intéresser : Cybersécurité : chaque salarié a un rôle à jouer

Risques en cas de non-conformité

Ne pas déployer la MFA expose à des risques cumulés :

  • Intrusion ou vol de données par exploitation de comptes internes ;
  • Usurpation d’identité numérique (signature de faux courriels, usurpation de profils) ;
  • Blocage d’activité (rançongiciel, sabotage) ;
  • Sanctions de la CNIL pour manquement à l’article 32 du RGPD ;
  • Perte de confiance des bénéficiaires.

Bonnes pratiques simples à retenir

Pour une MFA efficace et acceptée :

  • éviter les codes SMS quand c’est possible,
  • limiter la durée des sessions,
  • sensibiliser régulièrement les utilisateurs,
  • documenter la mise en œuvre,
  • tester la solution en conditions réelles.

Une MFA bien pensée protège sans compliquer le quotidien.

En conclusion

À l’horizon 2026, la CNIL envoie un message clair : sécuriser les accès devient aussi essentiel que fermer une porte à clé. La MFA n’est pas une contrainte inutile, mais un réflexe de protection devenu indispensable.
Et comme souvent en cybersécurité, la meilleure défense repose autant sur la technologie que sur la vigilance humaine.

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Pauline Burgat
Pauline Burgat
Juriste spécialisée en protection des données, titulaire d’un Master 2 et d’un Master 1 en Droit du numérique. Animée par une véritable passion pour la conformité au RGPD et les enjeux liés à la protection de la vie privée.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.