Authentification multifacteur : ce que recommande la CNIL

Dominique Bretagne
avril 10, 2025

L’authentification multifacteur est devenue un pilier majeur de la sécurité informatique. Face à la hausse des cyberattaques, elle permet de mieux protéger les accès aux systèmes et aux données personnelles.

Encore faut-il savoir comment la mettre en œuvre correctement…

Pour accompagner les professionnels, la CNIL a publié en février 2024 une série de recommandations pratiques. Ces recommandations ont pour but d’aider les organisations à faire les bons choix selon les niveaux de risque identifiés.

Découvrez les grandes lignes à retenir pour déployer une authentification multifacteur conforme et efficace.

L’authentification multifacteur, de quoi parle-t-on ?

L’authentification multifacteur (ou AMF) consiste à combiner au moins deux éléments distincts pour vérifier l’identité d’un utilisateur.

L’objectif est d’ajouter une couche de sécurité supplémentaire à la simple utilisation d’un mot de passe.

Ces facteurs doivent appartenir à des catégories différentes :

Quelque chose que je connais : un mot de passe ou un code PIN.
Quelque chose que je possède : un smartphone, une clé de sécurité, un token.
Quelque chose que je suis : une donnée biométrique comme une empreinte digitale ou la reconnaissance faciale.

Concrètement, cela signifie qu’un utilisateur devra, par exemple, entrer son mot de passe puis valider un code reçu sur son téléphone. Même si l’un des deux éléments est compromis, l’accès restera bloqué.

L’AMF est aujourd’hui largement utilisée dans de nombreux services : messagerie, banque en ligne, espace client, outils collaboratifs. Elle devient progressivement la norme, en particulier pour les services exposés sur Internet.

Pourquoi la CNIL publie-t-elle des recommandations ?

Depuis plusieurs années, la CNIL constate une recrudescence des violations de données liées à des accès non sécurisés. Mot de passe trop faible, réutilisé ou volé : la plupart des intrusions exploitent des identifiants compromis.

Pour les responsables de traitement, cela pose un double enjeu :

Assurer la sécurité des données personnelles
Limiter le risque juridique et réputationnel en cas d’incident.

C’est dans ce contexte que la CNIL a publié ses recommandations.

Elles ont pour finalité d’offrir un cadre de référence pour savoir dans quelles situations l’AMF doit être mise en place, avec quelles méthodes et selon quel niveau d’exigence. Ces recommandations, d’ailleurs, s’adressent aussi bien aux organismes publics qu’aux entreprises privées – quelle que soit leur taille.

Elles ne sont pas juridiquement contraignantes mais constituent un standard de bonnes pratiques. En cas de contrôle, elles pourront être utilisées par la CNIL pour évaluer le niveau de sécurité d’un système.

Cet article pourrait aussi vous intéresser : Cybersécurité : chaque salarié a un rôle à jouer

Quand faut-il mettre en place une authentification multifacteur ?

La CNIL recommande de recourir à l’AMF dès lors qu’il existe un risque pour la sécurité des données ou des systèmes. Elle distingue trois grands niveaux de risque : faible, modéré et élevé.

Plus le niveau de risque est élevé, plus l’AMF devient nécessaire, voire indispensable.

Voici quelques exemples concrets où l’usage d’une authentification multifacteur est fortement conseillé, voire exigé :

L’accès à des interfaces d’administration ou de gestion.
L’accès à des données sensibles : données de santé, données financières, données biométriques…
Les connexions à distance : accès VPN, télétravail…
Les comptes utilisateurs avec privilèges : administrateurs systèmes, responsables techniques…
Les services exposés sur Internet accessibles depuis un simple identifiant et mot de passe.

À l’inverse, la CNIL estime que l’AMF n’est pas toujours nécessaire pour les systèmes à faible risque ou les usages ponctuels très encadrés.

Mais même dans ces cas, l’usage d’un mot de passe robuste reste impératif.

Quelles méthodes d’AMF pouvez-vous mettre en place ?

Il existe différentes méthodes d’authentification multifacteur :

Les applications d’authentification (type TOTP via des outils comme Microsoft Authenticator, Google Authenticator, etc.) lorsqu’elles sont combinées avec un mot de passe.
Les clés de sécurité physiques compatibles avec le standard FIDO2/WebAuthn.
Les tokens matériels certifiés.

Ces solutions ont l’avantage de ne pas dépendre des réseaux mobiles ou des emails, souvent plus vulnérables mais il existe aussi d’autres méthodes d’AMF :

Les codes envoyés par SMS ou par email
Les solutions d’authentification automatique intégrées aux navigateurs

Comment déployer l’authentification multifacteur dans son organisation ?

Mettre en place une AMF ne se résume pas à cocher une case dans les paramètres d’un outil ! C’est une démarche globale qui suppose une évaluation préalable des risques mais aussi une sensibilisation des utilisateurs.

Voici quelques principes à suivre pour réussir votre déploiement :

Évaluer les niveaux de risque associés aux différents accès (comptes utilisateurs, administrateurs, prestataires, etc.) pour identifier la méthode d’AMF la plus adaptée.
Choisir des outils robustes et compatibles avec l’environnement technique de l’organisation.
Accompagner les utilisateurs, en expliquant les enjeux de sécurité et en fournissant des supports d’aide ou des formations si nécessaire.
Prévoir une procédure de secours, notamment en cas de perte du second facteur, pour éviter les blocages ou les contournements non sécurisés.

Nous recommandons aussi de documenter l’ensemble de la démarche, notamment dans le registre des activités de traitement – en précisant les mesures techniques et organisationnelles qui ont été mises en place.

Cet article pourrait aussi vous intéresser : Sanctions CNIL 2024 : les TPE/PME de plus en plus contrôlées

Ce qu’il faut retenir des recommandations de la CNIL

L’authentification multifacteur est aujourd’hui l’un des moyens les plus efficaces pour renforcer la sécurité des accès aux systèmes d’information.

Dans ses recommandations, la CNIL insiste sur une mise en œuvre progressive, fondée sur l’analyse des risques et adaptée aux différents usages.

Concrètement, les responsables de traitement doivent :

Utiliser l’AMF pour les accès sensibles, les comptes à privilège et les connexions à distance.
Privilégier les méthodes robustes (application d’authentification, clés de sécurité).
Éviter les méthodes vulnérables lorsque les enjeux sont élevés.
Accompagner les utilisateurs et formaliser les procédures internes.

Confiez-nous votre conformité

on saura la faire passer de

Prendre RDV maintenant

Partager le post

Articles connexes

Le RGPD dans votre boîte mail : Les règles essentielles à connaître

Vous avez probablement déjà entendu parler du RGPD, ce règlement européen qui vise à protéger les données personnelles des individus.

attaques phishing detecter tpe pme guide

Les Différents Types de Phishing et Comment les Détecter – Guide pour TPE et PME

Les attaques par phishing (hameçonnage en français) représentent aujourd’hui la principale source de cyberattaques, touchant particulièrement les TPE et PME.

Sécurité des données et conservation : sanction de 100 000 euros à l’encontre de PAP.fr

Le 31 janvier 2024, la CNIL a infligé une amende de 100 000 euros à la société PAP, éditrice du

Dominique Bretagne

Ancienne avocate et CIL (Correspondante Informatique et Libertés), également DPO (Déléguée à la Protection des Données) certifiée par l'APAVE, cette experte en RGPD est spécialisée dans l'accompagnement des TPE et PME afin de les conformer aux réglementations en matière de protection des données.