Exigences MFA de NIS2 : pourquoi « nous avons la MFA » ne passe plus un audit

Un client vous dit que l'authentification est couverte. Tout le monde a Microsoft Authenticator, l'approbation par push est imposée, terminé. Puis un auditeur ouvre le guide technique de l'ENISA et pose une seule question : la MFA de vos comptes privilégiés est-elle résistante au hameçonnage ? Et soudain la réponse est non.

C'est l'angle mort de la plupart des organisations. NIS2 nomme directement l'authentification multifacteur, mais le consensus des autorités de contrôle a déjà dépassé la MFA de base. Si vous conseillez des entités européennes sur la conformité NIS2, la conversation sur la MFA que vous aviez il y a dix-huit mois est dépassée.

L'article 21(2)(j) nomme la MFA — mais ne définit pas « assez bon »

L'article 21(2)(j) de NIS2 exige « l'utilisation de solutions d'authentification multifacteur ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant. »

Deux expressions de cette phrase trompent les gens. La première est « le cas échéant ». Ce n'est pas une option. Cela signifie que l'entité doit prendre une décision documentée et fondée sur le risque quant à l'endroit où la MFA s'applique. Un auditeur qui trouve des comptes privilégiés sans MFA et sans évaluation des risques expliquant l'omission traitera cela comme une constatation, pas comme un choix discrétionnaire.

Le deuxième problème est ce que la directive ne dit pas. L'article 21 nomme la MFA mais ne définit jamais quels facteurs sont admissibles. Ce détail figure dans le règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, qui fixe les exigences techniques et méthodologiques des mesures de gestion des risques. La directive vous dit que vous avez besoin de la MFA. Le règlement d'exécution, et le guide qui s'appuie dessus, vous dit de quel type.

L'ENISA a déjà placé la barre à la résistance au hameçonnage

En juin 2025, l'ENISA a publié la version 1.0 de son Technical Implementation Guidance relatif au règlement d'exécution 2024/2690. C'est le document sur lequel s'appuient les autorités de contrôle lorsqu'elles évaluent si vos mesures atteignent réellement la norme.

Le guide est explicite : choisissez une méthode d'authentification dont le niveau d'assurance correspond à la classification des données et systèmes qu'elle protège, et utilisez les options résistantes au hameçonnage « dans la mesure du possible ». Il nomme les clés de sécurité FIDO2 et les passkeys, fondées sur les normes FIDO et W3C WebAuthn, comme la méthode la plus robuste disponible — devant les mots de passe, les codes SMS et les mots de passe à usage unique basés sur une application.

Le raisonnement est technique, pas une mode. Les notifications push, les codes OTP et les SMS reposent tous sur un secret partagé ou une approbation que l'on peut soutirer à l'utilisateur. Les attaquants les déjouent chaque jour avec des invites de lassitude MFA, des proxys adversary-in-the-middle et des échanges de carte SIM. Les passkeys et les clés FIDO2 sont liés au domaine par conception : l'authentifiant ne se libère tout simplement pas face à un domaine usurpé. Il n'y a pas de code à hameçonner ni d'invite à user.

Pour une entité essentielle, cela compte sur le plan financier autant que technique. La non-conformité expose les entités essentielles à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. « Nous avions la MFA » est une défense faible lorsque l'agence même de l'autorité de contrôle a documenté que la MFA déployée était la version faible.

Article 21 — 10 Mesures de Cybersécurité NIS2
🛡️
Article 21
10 Mesures de Cybersécurité
📊
Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information
6Évaluation de l'efficacité des mesures de sécurité
🚨
Incidents & Continuité
2Gestion des incidents & notification
3Continuité des activités & reprise après sinistre
🔗
Chaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement
5Sécurité dans le développement des systèmes d'information
🔐
Contrôles Techniques
8Cryptographie & chiffrement
10Authentification multifacteur & communications sécurisées
👥
Personnel & Actifs
7Cyber-hygiène & formation
9Sécurité RH & contrôle d'accès

Tous les comptes n'ont pas besoin du même facteur

L'erreur pratique dans l'autre sens est de traiter la MFA résistante au hameçonnage comme un déploiement tout ou rien et de caler parce que des clés matérielles pour 4 000 employés semblent coûteuses. Le guide est échelonné selon le risque, et votre conseil devrait l'être aussi.

L'accès privilégié et à fort impact est l'endroit où la MFA résistante au hameçonnage n'est de fait pas négociable : administrateurs de domaine, administrateurs de tenant cloud, accès aux consoles d'hyperviseur et de sauvegarde, et tout compte capable de désactiver les mesures de sécurité. Si l'un d'eux est compromis, l'incident est terminé avant d'avoir commencé. Déployez ici d'abord des clés FIDO2 ou des passkeys de plateforme.

L'accès distant et les identités exposées sur l'extérieur viennent ensuite — VPN, passerelles RDP et tout système accessible depuis Internet. C'est la porte d'entrée à laquelle frappent réellement les attaquants, donc le niveau d'assurance doit être élevé.

Les comptes standards des collaborateurs peuvent passer à la MFA résistante au hameçonnage selon un calendrier planifié, mais la direction prise doit être claire dans votre documentation. Un auditeur veut voir que vous savez où subsiste la MFA faible et que vous avez un plan daté pour la retirer, pas que vous avez tout résolu du jour au lendemain.

Cet échelonnement permet aussi de garder les discussions budgétaires raisonnables. Un consultant qui débarque en exigeant 200 000 euros de clés matérielles perd la salle. Un consultant qui dit « trente clés FIDO2 pour vos quinze administrateurs privilégiés ce trimestre, des passkeys pour tous les autres au suivant » obtient une signature.

Comment rendre cela auditable, et pas seulement déployé

Le déploiement n'est que la moitié du travail. La moitié qui survit à un audit, c'est la documentation prouvant que le déploiement était une décision délibérée et fondée sur le risque au titre de l'article 21.

Trois artefacts portent l'essentiel du poids. Premièrement, une classification des accès qui associe les types de comptes aux niveaux d'assurance requis — c'est le document qui opérationnalise « le cas échéant ». Deuxièmement, la preuve de l'application, c'est-à-dire des politiques d'accès conditionnel ou équivalentes qui bloquent réellement les connexions non conformes au lieu de simplement recommander la MFA. Une politique en mode « report-only » n'est pas une mesure. Troisièmement, un registre des exceptions : chaque compte qui ne peut pas encore utiliser la MFA résistante au hameçonnage, pourquoi, la mesure compensatoire et la date de remédiation.

Réussissez ces trois points et la section MFA d'un audit devient courte. Sautez-les et même un déploiement techniquement solide ressemble à de la chance plutôt qu'à de la gouvernance.

La NIS2 s'applique-t-elle à votre organisation ?
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼
Non▼
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗
La NIS2 ne s'applique pas directement à votre organisation.
Oui▼
Non▼
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →
✗
La NIS2 ne s'applique pas directement à votre organisation.
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'applique
Possiblement applicable
Ne s'applique pas

Ce que cela signifie pour les MSP gérant plusieurs tenants

Si vous gérez l'identité de plusieurs clients, le passage à la résistance au hameçonnage est un programme opérationnel, pas un correctif client par client. Les clients qui auront du mal sont ceux encore sur une MFA héritée sur toute la ligne, et ce sont généralement vos plus petites missions, où la résistance budgétaire est la plus forte.

Standardisez maintenant. Choisissez une méthode résistante au hameçonnage que vous pouvez déployer et prendre en charge à grande échelle — passkeys de plateforme plus une solution de repli par clé matérielle pour les administrateurs constitue une base défendable — et faites-en votre référence pour chaque tenant. Construisez la classification des accès une fois comme modèle et adaptez-la par client plutôt que de la réinventer à chaque mission. Et intégrez le registre des exceptions à votre cadence de reporting habituelle pour que les dates de remédiation ne glissent pas discrètement au-delà d'une échéance d'audit.

Le coût d'une erreur n'est pas réparti uniformément. Lorsqu'une violation touche un client géré et que la cause racine est une MFA hameçonnable sur un compte administrateur, les dispositions de NIS2 sur la chaîne d'approvisionnement ramènent la conversation vers votre contrat, et pas seulement le sien.

Escalade des sanctions NIS2 — Au-delà de l'amende
!
Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer
▼
Sanctions non financières
1
Ordres de mise en conformité avec délais contraignants
2
Audits de sécurité obligatoires à vos frais
3
Divulgation publique des violations
4
Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers
▼
Conséquences opérationnelles et personnelles
1
Suspension de certifications ou licences d'exploitation
2
Interdiction temporaire de fonctions de direction pour les individus
3
Désignation publique des personnes physiques responsables
Déclencheur
Non financier
Opérationnel / personnel

L'action à mener ce trimestre

Cessez de traiter la MFA comme une case déjà cochée. La question qui compte sous NIS2 n'est plus « avons-nous la MFA » mais « notre MFA est-elle résistante au hameçonnage là où c'est important, et pouvons-nous prouver que la décision était délibérée ».

Commencez par les comptes privilégiés, documentez les niveaux de risque, appliquez en mode blocage et tenez un registre des exceptions honnête. C'est la différence entre une constatation d'authentification propre et une constatation coûteuse.

Si vous n'êtes pas sûr de l'état réel de la MFA de vos clients au regard du guide de l'ENISA, une évaluation de préparation structurée fera remonter les lacunes avant qu'un auditeur ne le fasse. Lancez un quick scan NIS2 gratuit pour voir où en sont aujourd'hui l'authentification et le reste des mesures de l'article 21.

Pour une vue d'ensemble de ce qu'exige l'article 21, consultez notre décryptage des dix mesures de l'article 21. Pour éprouver votre posture globale, parcourez notre guide pas à pas d'analyse des écarts.