MFA pour tous vos SaaS, pas seulement M365 : l'opération rattrapage

M365 et Google rendent le MFA facile. Dropbox, Slack, GitHub, Trello aussi. Mais ces outils SaaS isolés ? Le MFA y est souvent absent. Voici comment combler le retard.

Vous avez imposé le MFA sur M365. Parfait. Mais qu'en est-il de vos 35 autres abonnements SaaS ? Ils ne sont probablement pas protégés par le MFA.

Faites l'inventaire

Reprenez votre inventaire SaaS : ajoutez pour chaque outil une colonne « MFA possible ? » et « MFA activé pour tous les utilisateurs ? ».

Établissez les priorités

1. Outils contenant des données clients (CRM, portail client).
2. Outils contenant des données financières (comptabilité, facturation, banque).
3. Outils contenant du code source (GitHub, GitLab).
4. Outils disposant de droits d'administration sur d'autres outils (fournisseur SSO, gestionnaire de mots de passe).
5. Le reste.

Approches par type d'outil

• SSO quand c'est possible : connectez l'outil à votre SSO M365/Google. Vous bénéficiez alors automatiquement du MFA du SSO.
• MFA natif de l'outil : activez-le dans les paramètres du compte. Il est souvent possible de l'imposer à tous les membres de l'équipe.
• Outil sans MFA : envisagez de le remplacer, ou acceptez le risque en appliquant une politique de mots de passe renforcée et un cycle de révision plus court.

Codes de récupération

Chaque configuration MFA génère des codes de récupération. Ceux-ci DOIVENT être stockés dans un coffre-fort (gestionnaire de mots de passe), voire dans un coffre physique. Si votre téléphone tombe en panne et que vous n'avez pas vos codes de récupération, vous serez bloqué hors de vos comptes.

MFA sur les comptes partagés

Consultez notre article sur la gestion des mots de passe partagés. Utilisez un gestionnaire de mots de passe avec TOTP partagé ou une YubiKey que vous pouvez distribuer physiquement.

Voir aussi : déployer le MFA dans M365, pilier sécurité.