Déployer MFA dans M365 : de 50 % à 100 % en deux semaines

MFA est la mise à niveau de sécurité la moins chère que vous puissiez faire — et la plus sous-estimée. Voici le plan de déploiement qui minimise la résistance et maximise la couverture.

Si vous ne deviez choisir qu'une seule mesure de sécurité cette année : MFA pour tout le monde. 99 % des attaques par mot de passe sont bloquées par MFA. C'est le déploiement qui est la partie délicate.

Semaine 1 : préparation

• Choisissez : l'application Microsoft Authenticator (gratuite, idéale) ou YubiKey (30 €/pièce, la plus robuste). Pour les PME, Authenticator est la solution standard, YubiKey est réservée aux comptes à privilèges.
• Configurez les paramètres de sécurité par défaut ou une stratégie d'accès conditionnel (Conditional Access) imposant MFA à tous les utilisateurs.
• Communiquez : une réunion collective de 15 minutes pour expliquer le pourquoi, le quand et le comment.

Semaine 2 : déploiement

• Jours 1-3 : auto-inscription ouverte. Les collaborateurs enregistrent leur application via aka.ms/mfasetup.
• Jour 4 : l'IT accompagne les personnes en difficulté. Il s'agit souvent de collaborateurs plus âgés réticents à utiliser un smartphone — envisagez le SMS ou une clé FIDO d'entreprise comme alternative.
• Jour 7 : l'application entre en vigueur. Toute personne non encore inscrite sera forcée de le faire à sa première connexion.

Comptes à privilèges : une étape supplémentaire

Les Global Admins bénéficient d'un jeton matériel ou d'un MFA avec correspondance de numéros (number matching). Pas de SMS (risque de SIM-swap). Voir l'article sur la PAM.

Le défi des anciens collaborateurs

Lors de l'offboarding : les inscriptions MFA sont supprimées. Sinon, le téléphone d'un ancien collaborateur reste « valide » en cas de réactivation ou d'incident de phishing.

Voir aussi : pilier M365, Conditional Access.