Un simple code texte peut-il encore protéger votre entreprise?
Les attaques par hameçonnage visant les comptes Microsoft 365 et Google Workspace continuent de faire des victimes, y compris au Québec. Dans plusieurs cas récents, l’intrusion n’a pas nécessité de logiciel sophistiqué ni d’exploit technique avancé. Un employé a simplement entré un mot de passe, puis un code reçu par SMS… sur un faux site parfaitement crédible.
En quelques minutes, un compte administrateur était compromis.
Ce scénario révèle une réalité inconfortable : la double authentification par code texte ou application mobile, longtemps considérée comme une amélioration suffisante, montre aujourd’hui ses limites. Et pendant que les attaques évoluent, les méthodes de protection, elles, stagnent souvent dans les PME.
Pourtant, une technologie plus robuste est déjà disponible et largement adoptée dans les environnements à haute sécurité : les clés de sécurité physiques.
Le problème n’est pas la double authentification. C’est sa forme.
La double authentification reste essentielle. Ajouter un second facteur demeure infiniment plus sécuritaire qu’un simple mot de passe.
Mais tous les seconds facteurs ne se valent pas.
Un code SMS ou un code généré dans une application demeure visible à l’œil humain. Il peut être copié, retransmis, intercepté ou soutiré par manipulation. Les attaques modernes de phishing exploitent précisément cette faiblesse : elles reproduisent un site légitime en temps réel et redirigent immédiatement les informations saisies vers le vrai service.
L’utilisateur croit se connecter normalement. En réalité, il donne lui-même la clé d’entrée.
Le problème n’est donc pas l’authentification multifactorielle en soi. C’est le fait qu’elle repose encore, trop souvent, sur un élément que l’humain peut transmettre.
Ce que change une authentification par clé de sécurité
Une clé de sécurité matérielle peut sembler banale. Elle ressemble à une petite clé USB ou à un jeton compact qu’on garde sur son porte-clés. Pourtant, son fonctionnement repose sur une logique radicalement différente.
Elle ne génère pas un code visible. Elle ne transmet pas d’information lisible. Elle ne “montre” rien à l’utilisateur.
Lorsqu’on l’utilise, elle répond à un défi cryptographique envoyé par le site légitime. Ce dialogue mathématique se produit en arrière-plan, sans que l’utilisateur n’ait quoi que ce soit à copier ou à saisir.
Si un employé se retrouve sur un faux site, même extrêmement bien imité, la clé reconnaît que le domaine n’est pas le bon. Elle refuse de s’authentifier. Il n’y a rien à voler, rien à intercepter, rien à retransmettre.
Autrement dit, l’authentification résistante au phishing retire à l’attaquant son levier principal : la manipulation humaine.
Passkeys : la transition silencieuse vers le sans mot de passe
Depuis quelques mois, plusieurs organisations voient apparaître un nouveau terme dans leurs environnements Microsoft ou Google : les passkeys.
Il s’agit d’une évolution vers une authentification sans mot de passe, basée sur les mêmes standards cryptographiques que les clés physiques.
Certaines passkeys sont synchronisées dans le nuage et liées à vos appareils. Elles offrent une grande fluidité d’utilisation. D’autres sont ancrées directement dans un dispositif matériel, ce qui augmente considérablement le niveau d’assurance.
Pour une PME, cette distinction mérite réflexion. Les comptes à faible impact peuvent tolérer une approche plus souple. En revanche, les accès administrateurs globaux, les comptes financiers ou les environnements serveurs exigent un niveau de protection supérieur.
Un déploiement plus simple qu’on le croit
L’intégration d’une clé de sécurité moderne dans Microsoft 365 ou Google Workspace se fait directement dans les paramètres de sécurité du compte. La clé n’a pas besoin de batterie ni de configuration avancée pour un usage standard. On l’enregistre, on confirme l’authentification et elle devient active.
Le véritable enjeu n’est pas technique. Il est organisationnel : gestion des clés de secours, procédures en cas de perte et hiérarchisation des comptes à protéger en priorité.
Loi 25, assurance cyber et responsabilité des dirigeants
Depuis l’entrée en vigueur des nouvelles obligations liées à la protection des renseignements personnels au Québec, la question de la “mesure raisonnable” n’est plus théorique.
Si un compte administrateur est compromis parce qu’il était protégé uniquement par un SMS, comment justifier ce choix alors que des mécanismes d’authentification résistante au phishing sont disponibles et reconnus comme supérieurs?
De plus en plus d’assureurs exigent des mesures d’authentification avancées pour maintenir une couverture. La pression réglementaire et contractuelle pousse les organisations à revoir leurs standards.
Une petite décision, un impact disproportionné
Les clés de sécurité physiques ne remplacent pas une stratégie globale. Mais elles élèvent significativement le seuil d’effort nécessaire pour compromettre un compte critique.
Dans un contexte où les PME québécoises sont de plus en plus ciblées, continuer à dépendre uniquement de codes temporaires revient à verrouiller une porte principale… tout en laissant une fenêtre entrouverte.
Si certains enjeux abordés ici résonnent avec votre réalité, les spécialistes de Mon Technicien accompagnent déjà plusieurs PME du Québec dans l’implantation de solutions d’authentification résistante au phishing adaptées à leur niveau de risque et à leurs obligations légales.
