Qu’est-ce que l’authentification à étapes adaptative (MFA adaptative) ?

Imaginons un matin d’automne ensoleillé. Plutôt que de vous installer à votre bureau, vous décidez de travailler à distance depuis le café qui vient d’ouvrir ses portes au centre-ville. Vous commandez un café, sortez votre ordinateur portable et commencez à vous connecter au tableau de bord de votre entreprise. Le système reconnaît instantanément que vous utilisez un nouveau réseau wifi avec un appareil que vous n’avez jamais enregistré. À la place d’un simple « accès refusé », vous recevez une seule invitation à numériser votre empreinte digitale.

Dans cette situation, une couche de sécurité supplémentaire apparaît, car le risque est plus élevé que d’habitude. Cette protection fluide « en fonction des besoins » est au cœur de l’authentification adaptative à étapes (A-MFA). Cette authentification basée sur le risque est une manière plus intelligente de renforcer votre posture de sécurité sans sacrifier la commodité. 

Selon le Rapport sur le coût d’une violation de données d’IBM de 2025, le coût moyen d’une violation de données s’élève désormais à 4,4 millions de dollars. Ce fait souligne à lui seul pourquoi les entreprises ne peuvent pas se permettre d’utiliser les mêmes défenses de base pour chaque utilisateur. Avec l’augmentation des attaques de phishing créées par l’intelligence artificielle (IA), les solutions de MFA devraient être une exigence minimale en matière de sécurité. Heureusement, il existe de nombreuses options pour mettre en œuvre l’A-MFA, notamment Auth0 et Duo. Dans cet article, nous expliquerons comment la MFA adaptative évalue les risques en temps réel. Nous allons également présenter ses cas d’utilisation et vous fournir une compréhension de base nécessaire pour décider de sa place dans votre cadre des exigences de sécurité.

La plupart d’entre nous ont déjà utilisé l’authentification à étapes (MFA) à un moment ou à un autre. La MFA ajoute des exigences de sécurité supplémentaires à vos comptes en vous demandant de prouver votre identité en utilisant des méthodes d’authentification supplémentaires. Comme l’authentification unique (SSO) et l’authentification à deux facteurs (2FA), la MFA fait partie du pilier d’authentification de la gestion des identités et des accès (IAM). Au lieu de la méthode traditionnelle qui consiste à utiliser un mot de passe, vous aurez généralement besoin de deux facteurs ou plus pour vous connecter. Ces facteurs se répartissent en trois catégories principales :

1. Un élément que seul vous connaissez, tel qu’un mot de passe ou la réponse à une question de sécurité.
   
   
2. Un objet que vous possédez, comme un smartphone, un token ou même une clé physique (comme une clé Yubi sur une clé USB).
   
   
3. Quelque chose que vous êtes : il peut s’agir de données biométriques provenant d’une empreinte digitale ou d’un balayage facial.

Par exemple, il peut vous être demandé de saisir votre mot de passe (connaissance), puis un code SMS est envoyé à votre téléphone (quelque chose que vous avez), ou de scanner votre empreinte digitale (quelque chose que vous êtes). En combinant ces facteurs, la MFA rend l’accès à vos comptes beaucoup plus difficile pour les utilisateurs non autorisés, même si votre mot de passe a été compromis. Maintenant, associez cette approche à un système qui applique des mesures de sécurité supplémentaires uniquement lorsqu’il détecte un risque de sécurité accru, et vous obtenez l’essence de la MFA adaptative.  

Imaginez la MFA adaptative comme une avancée majeure par rapport à l’authentification à étapes traditionnelle. Inventée par Abhijit Kumar Nag et Dipankar Dasgupta, cette mesure de protection va plus loin que la MFA traditionnelle. Elle utilise des informations contextuelles provenant des habitudes quotidiennes de l’utilisateur pour évaluer le niveau de risque associé à une tentative de connexion spécifique. Si le niveau de risque d’une tentative de connexion spécifique d’un utilisateur dépasse un seuil prédéterminé, elle sera perçue comme un événement déclencheur. 

La MFA adaptative permet aux administrateurs système de classer les critères de déclenchement en fonction de plusieurs facteurs, notamment les rôles des utilisateurs et les actifs de l’entreprise. Reprenons l’exemple que nous avons utilisé précédemment, lorsque vous vous connectez au tableau de bord de votre entreprise depuis un café. Si vous n’y êtes jamais allé auparavant, cela peut être considéré comme un événement déclencheur. Cependant, si vous y allez assez souvent et à peu près à la même heure, cela ne sera probablement pas considéré comme un événement déclencheur. Par ailleurs, si une personne tentait d’accéder au tableau de bord de votre entreprise en utilisant vos identifiants dans un pays à l’autre bout du monde, le lendemain et à une heure inhabituelle, il affichera presque certainement des avertissements. Cet exemple montre en quoi consiste la MFA adaptative : comprendre les habitudes d’un utilisateur spécifique et appliquer des mesures supplémentaires uniquement à des fins de sécurité lorsque quelque chose semble suspect ou inhabituel. Dans la section suivante, nous aborderons les fonctions de la MFA traditionnelles et leurs différences avec celles de la MFA adaptative.

L’authentification à étapes adaptative ressemble beaucoup à l’authentification à étapes traditionnelle, avec quelques avancées supplémentaires visant à garantir la sécurité de vos données sensibles sans pour autant sacrifier la facilité d’utilisation. Nous allons aborder ci-dessous les étapes et le fonctionnement de l’authentification à étapes adaptative.

Un utilisateur tente de se connecter à un système (par exemple, un tableau de bord d’entreprise, une application, etc.) en saisissant un nom d’utilisateur et un mot de passe, ou une clé d’accès. Le système commence à comparer ces informations d’identification aux informations d’identification qu’il a stockées.

C’est l’étape qui distingue la MFA adaptative du MFA traditionnel. Alors que la MFA traditionnelle exige simplement un deuxième facteur d’authentification, la MFA adaptative analyse le niveau de risque et détermine ensuite le niveau d’authentification approprié pour ce risque.

Elle commence par collecter et comparer les données de la connexion ou de la demande d’accès en cours aux données des connexions ou demandes d’accès précédentes. Les données peuvent inclure :

• Localisation : cet emplacement est-il habituel pour cet utilisateur ou se trouve-t-il dans une autre ville ou même un autre pays ?
  
  
• Appareil ou type d’appareil : cet appareil est-il un appareil professionnel ou appartenant à un particulier ? Cet appareil est-il celui habituellement utilisé pour se connecter ou est-ce un nouvel appareil ? Est-ce que la connexion est réalisée depuis un téléphone portable alors que l’utilisateur se connecte habituellement depuis un ordinateur portable ?
  
  
• Heure de la journée : s’agit-il des heures de travail normales pendant lesquelles l’employé se connecte habituellement ou cette plage horaire est-elle inhabituelle ?
  
  
• Comportement de l’utilisateur : à quoi l’utilisateur tente-t-il d’accéder en tenant compte des facteurs combinés mentionnés précédemment ?
  
  
• Réseau : ce réseau fait-il partie d’une entreprise, a-t-il une adresse IP privée ou publique ?
  
  
• Données historiques : toutes les informations de connexion précédentes de cet utilisateur sont enregistrées et conservées en vue de la tentative de connexion actuelle.

Un système de notation des risques évalue les résultats et attribue un niveau de risque à cette tentative de connexion. Ainsi, une connexion depuis un autre pays, sur un nouvel appareil, en dehors des heures de travail et à partir d’une adresse IP non reconnue peut présenter un niveau de risque élevé.

Le score de risque donne lieu à une réponse d’authentification spécifique au contexte. Cela peut inclure :

• Déclencheur MFA standard (faible risque) : il peut s’agir d’un mot de passe à usage unique (OTP) envoyé à l’appareil mobile de l’utilisateur via une notification push ou une application d’authentification comme Google ou Microsoft Authenticator.
  
  
• Déclenchement de la MFA améliorée (risque moyen) : ici, le système peut appliquer une méthode d’authentification plus rigoureuse, comme la biométrie (scans faciaux ou d’empreintes digitales), des questions de sécurité ou une authentification basée sur les connaissances (questions sur l’historique spécifique de l’utilisateur).
  
  
• Blocage et alerte immédiats (risque élevé) : dans les cas à haut risque, le système peut immédiatement bloquer la tentative de connexion et en informer le service de sécurité de l’entreprise.

Les systèmes A-MFA surveillent en continu l’activité et les comportements de chaque utilisateur afin de mieux identifier les anomalies au fil du temps. Les systèmes A-MFA adoptent de plus en plus les algorithmes de machine learning pour apprendre des tentatives passées de connexion ou d’accès des utilisateurs. Plus le système rencontre des tentatives de connexion, plus il sera capable d’identifier les tentatives légitimes et suspectes.

Les entreprises adoptent la MFA pour plusieurs raisons. En voici quelques-unes :

• Un niveau de contrôle accru pour les administrateurs système : les systèmes A-MFA permettent aux administrateurs d’augmenter ou de diminuer le nombre d’exigences d’authentification en fonction de la sensibilité de la ressource et/ou du rôle de la personne cherchant à y accéder.
  
  
• Utilisation optimale sans sacrifier la sécurité : l’A-MFA permet des demandes d’authentification fluides afin que la sécurité soit adaptée à la situation et ne constitue pas un obstacle à l’expérience utilisateur.
  
  
• Résilience globale renforcée : l’adoption de l’A-MFA dans le cadre d’une approche de sécurité Zero Trust renforce immédiatement la sécurité et réduit considérablement le risque de violation de données due à des attaques telles que le phishing.