Aller au contenu principal
Votre parc informatique, maintenu sans contrat d'engagement — au forfait ou à la demande.Un interlocuteur unique pour vos postes, vos serveurs et votre sécurité.Sécuriser votre SI ? Découvrez le Forfait Audit SécuritéModerniser vos postes Windows ? Le Pack Modernisation dès 3 900 € net de TVAPrestation ponctuelle ou forfait mensuel — au plus près de vos besoins.
Cybersécurité Microsoft 365PasskeysMFAEntra ID

Passkeys et MFA anti-phishing dans Microsoft 365

Microsoft

Le MFA classique ne suffit plus toujours

Le MFA a fortement réduit les compromissions de comptes, mais toutes les méthodes ne se valent pas. Les codes SMS, les notifications push mal encadrées ou les validations automatiques restent exposés au phishing, à la fatigue MFA et aux attaques de type relais (Adversary-in-the-Middle), qui volent des sessions déjà authentifiées en temps réel.

Pourquoi ce sujet devient urgent en 2026

Le phishing a changé d’échelle avec l’IA générative. Les campagnes de phishing utilisant des leurres générés par IA atteignent désormais un taux de clic de 54 %, contre 12 % pour le phishing traditionnel. Une seule plateforme de phishing-as-a-service, Tycoon 2FA, a représenté à elle seule 62 % du volume de phishing bloqué par Microsoft mi-2025, ciblant spécifiquement les méthodes de MFA classiques.

IndicateurDonnée observée
Taux de clic sur le phishing généré par IA54 %
Taux de clic sur le phishing traditionnel12 %
Part du phishing bloqué par Microsoft venant d’une seule plateforme (Tycoon 2FA)62 %
Attaques de phishing réussies chez Google après déploiement de clés de sécurité (85 000 employés)0
Usurpations de compte chez Snap après adoption FIDO2, sur plus de 2 ans0

Face à ce niveau de sophistication, les retours d’expérience des grandes entreprises sont sans appel : Google n’a enregistré aucune attaque de phishing réussie après avoir déployé des clés de sécurité auprès de 85 000 employés, et Snap n’a constaté aucune usurpation de compte pendant plus de deux ans après l’adoption de FIDO2. Cloudflare, de son côté, a survécu à une campagne de phishing sophistiquée après avoir déployé des clés de sécurité et désactivé toutes les autres méthodes de MFA.

Les passkeys FIDO2 apportent une authentification plus robuste : l’utilisateur ne saisit plus un mot de passe réutilisable, et l’authentification est liée au service légitime. Microsoft Entra ID permet de déployer ces méthodes avec des profils et des politiques ciblées.

Une menace qui progresse plus vite que la défense

Le dernier rapport Microsoft Digital Defense confirme l’urgence : les attaques basées sur l’identité ont augmenté de 32 % sur le premier semestre 2025, une hausse largement attribuée à l’adoption de l’IA générative par les attaquants pour automatiser et personnaliser leurs campagnes. Face à cette accélération, la bonne nouvelle est que Conditional Access, combiné à une authentification résistante au phishing, reste un rempart efficace : en vérifiant l’état du poste et la force de l’authentification avant d’accorder l’accès, il bloque des tentatives qu’un simple mot de passe volé, même complété d’un code, laissait passer.

Par où commencer

1. Protéger les comptes administrateurs. Les comptes à privilèges doivent être traités en premier : administrateurs Microsoft 365, Entra ID, Intune, sécurité, sauvegarde et messagerie.

2. Choisir les méthodes acceptées. Clés de sécurité FIDO2, passkeys dans Microsoft Authenticator, passkeys synchronisées ou liées à l’appareil : le choix dépend du niveau de risque et des usages.

3. Créer un groupe pilote. Testez avec quelques utilisateurs volontaires et des postes représentatifs avant d’étendre.

4. Prévoir les méthodes de secours. Perte d’un téléphone, clé oubliée, changement d’appareil : le processus de récupération doit être clair. C’est un point critique : un attaquant ciblera toujours le maillon le plus faible de la chaîne, et si une méthode de récupération par SMS reste disponible, elle peut suffire à contourner tout le déploiement FIDO2, aussi robuste soit-il par ailleurs.

5. Lier à Conditional Access. Les ressources sensibles peuvent exiger une force d’authentification plus élevée.

Le lien avec l’activation des rôles à privilèges

Microsoft Entra ID permet désormais d’exiger une réauthentification via Conditional Access au moment même où un utilisateur active un rôle à privilèges via Privileged Identity Management (PIM), plutôt que de se fier uniquement à une session déjà ouverte. Concrètement, cela signifie qu’un administrateur qui active temporairement des droits élevés doit reconfirmer son identité avec une méthode forte à cet instant précis, ce qui réduit la fenêtre d’exploitation si sa session courante était déjà compromise.

Les erreurs fréquentes

  • Activer une méthode sans procédure de support.
  • Ne pas distinguer les comptes admin des comptes standards.
  • Oublier les comptes de service et les comptes partagés.
  • Déployer trop vite sans communication utilisateur.
  • Garder des méthodes faibles disponibles pour les comptes sensibles, ce qui annule une grande partie du bénéfice du déploiement, exactement comme le montre le risque de contournement par SMS de secours.

Clés physiques ou passkeys synchronisées

Toutes les passkeys ne se valent pas, et le bon choix dépend du niveau de risque. Les clés de sécurité physiques, ces petits dispositifs que l’on branche ou approche de l’appareil, offrent la protection la plus forte : la clé privée ne quitte jamais le matériel, ce qui la rend quasiment impossible à voler à distance. C’est la référence pour les comptes les plus critiques, à commencer par les administrateurs.

Les passkeys synchronisées, stockées dans le trousseau d’un écosystème et disponibles sur tous les appareils de l’utilisateur, offrent un compromis différent : un peu moins inviolables en théorie, mais bien plus pratiques, sans clé physique à transporter ni à remplacer en cas de perte. Pour la majorité des utilisateurs standards, elles représentent le meilleur équilibre entre sécurité et simplicité. Beaucoup d’organisations combinent d’ailleurs les deux : clés physiques pour les comptes sensibles, passkeys synchronisées pour le reste.

Ce que les passkeys changent au quotidien

La sécurité n’est pas le seul argument, et ce n’est peut-être pas celui qui emporte l’adhésion des équipes. Pour l’utilisateur, une passkey signifie surtout la fin du mot de passe : plus rien à retenir, à composer ni à renouveler tous les trois mois. La connexion se fait d’un geste, empreinte digitale, reconnaissance faciale ou code de l’appareil, souvent plus vite qu’en tapant un mot de passe complexe.

Cet avantage pratique est un puissant moteur d’adoption, à condition d’accompagner le changement. Les utilisateurs habitués aux mots de passe peuvent d’abord se méfier d’une méthode qu’ils comprennent mal ; une communication claire, expliquant ce qui change et pourquoi, lève l’essentiel des réticences. Une fois le cap franchi, le retour en arrière est rare : la simplicité retrouvée fait plus pour l’adhésion que n’importe quel discours sur le phishing.

Le mot de passe ne disparaît pas d’un coup

Déployer des passkeys ne signifie pas supprimer tous les mots de passe le lendemain. Dans la réalité, les deux coexistent un temps : certaines applications anciennes ne gèrent pas encore FIDO2, des comptes techniques restent sur des mécanismes classiques, et tous les utilisateurs ne basculent pas au même rythme. C’est normal, et vouloir tout changer d’un coup est le meilleur moyen de bloquer une partie de l’activité.

La bonne approche est graduelle : on rend l’authentification forte obligatoire là où elle compte le plus, d’abord les comptes à privilèges, puis on élargit à mesure que le support et les habitudes se stabilisent. L’objectif final reste de retirer les méthodes faibles pour les comptes sensibles, mais on y arrive par étapes, sans casser ce qui fonctionne.

Une trajectoire réaliste pour une PME

Commencez par les administrateurs, la direction et les comptes exposés. Stabilisez le support, documentez l’inscription des méthodes, puis étendez aux utilisateurs les plus sensibles. L’objectif n’est pas de tout changer en une semaine, mais de réduire rapidement le risque sur les comptes qui ouvrent les portes du système d’information.

Protéger d’abord les comptes qui comptent

Face à un phishing que l’IA rend chaque mois plus crédible, l’authentification résistante au phishing n’est plus un luxe de grande entreprise : c’est la protection de base des comptes dont la compromission ouvre les portes du système d’information. Les retours d’expérience de Google, Snap ou Cloudflare le montrent, une fois le mot de passe réutilisable remplacé par une passkey liée au service légitime, tout un pan des attaques par phishing cesse simplement de fonctionner.

Ce chantier complète naturellement une démarche de mise en place et suivi Microsoft 365 et Intune et d’audit Active Directory. L’essentiel est de commencer par le haut, là où un compte compromis fait le plus de dégâts, plutôt que d’attendre une bascule générale qui n’arrive jamais.

Sources : WorkOS, Passkeys stop phishing, your MFA fallbacks undo it · Microsoft Learn, Passkeys FIDO2 dans Microsoft Entra ID

Évaluer vos priorités de sécurité

Identifiez les risques concrets et les premières mesures adaptées à votre environnement.