La cybersécurité au pluriel

Comprendre le MFA

L’authentification multifacteur (MFA, « multi-factor authentication ») repose sur un principe simple. Pour accéder à un compte ou un service, l’utilisateur doit prouver son identité via au moins deux des trois facteurs suivants : 

• quelque chose qu’il connaît : mot de passe, code PIN, 
• quelque chose qu’il possède : smartphone, jeton physique, 
• quelque chose qu’il est : empreinte digitale, reconnaissance faciale, scan de l’iris.

Par exemple, entrer un mot de passe, puis valider l’accès via un code reçu par SMS constitue une authentification multifacteur. Ce mécanisme réduit considérablement les risques liés au vol de mots de passe. 

Simple et évident ? Le concept du MFA, qui remonte aux années 1980, peine pourtant à s’imposer dans les années 1990, alors même qu’il est déjà utilisé dans certaines entreprises et secteurs sensibles.

L’illusion de la sécurité

Les premiers obstacles au succès du MFA sont humains. Les utilisateurs rejettent instinctivement ce qu’ils perçoivent comme une contrainte inutile. Pourquoi sortir un token physique (ces jetons qui génèrent des codes à usage unique) ou attendre un code SMS alors qu’un simple mot de passe suffit, du moins en apparence ?

Les entreprises, elles aussi, hésitent : coûts de déploiement, complexité d’intégration, absence de standards interopérables… D’autant plus que la technologie des débuts, sans smartphones, est perçue comme lourde, obscure, voire anxiogène.

Un succès multifacteur

Il faudra attendre les années 2010 pour que plusieurs facteurs convergent et qu’un basculement s’opère. 

En premier lieu, la multiplication des cyberattaques médiatisées et des vols massifs de données (Yahoo, LinkedIn, Sony…) change la perception collective du risque : le mot de passe seul ne suffit plus.

Ensuite, la généralisation du smartphone facilite l’usage quotidien du MFA : applications de génération de codes, notifications push, authentification biométrique deviennent accessibles à tous. 

Enfin, l’émergence de solutions natives plus fluides, proposées par Google, Microsoft ou encore Auth0, améliore considérablement l’expérience utilisateur, tandis que les standards interopérables comme WebAuthn ou FIDO2 permettent une adoption cohérente et globale.

Le rôle des réglementations a également été déterminant : des cadres comme le RGPD (Règlement général sur la protection des données) en Europe ou la directive PSD2 (2e directive européenne sur les services de paiement) dans le secteur bancaire ont imposé l’authentification forte dans certaines situations, accélérant ainsi l’adoption du MFA dans de nombreux services en ligne.

Le bon équilibre

Ce qui a véritablement permis au MFA de s’imposer, c’est l’alignement entre sécurité, simplicité d’usage et accessibilité. Une innovation n’est jamais seulement d’ordre technique : pour qu’elle s’ancre dans les usages, elle doit épouser les comportements humains.

Les pionniers du MFA l’ont compris. En repensant l’expérience utilisateur, en intégrant la sécurité dans des gestes quotidiens, ils ont transformé une contrainte perçue en réflexe naturel. Aujourd’hui, le MFA n’est plus une option, mais une norme. 

Avant de devenir un standard, l’authentification multifacteur a d’abord échoué. Il a fallu adapter la sécurité à l’humain, et non l’inverse.