Nous n’avons pas toujours les moyens techniques ni financiers pour activer le MFA.

Mais l’accès conditionnel, oui ! En 2025, 30 % des incidents traités par Breizh Cyber concernaient un compte M365 compromis. Ce chiffre s’explique à la fois par le choix de nombreuses entités de migrer vers une solution cloud et par l’augmentation des attaques de phishing ciblant spécifiquement ce type de compte.

Dans 100 % des cas, le MFA n’était pas activé (ou seulement partiellement).
La raison la plus souvent invoquée : l’impossibilité de fournir à tous les agents/collaborateurs un téléphone portable permettant l’usage de l’application mobile de validation MFA. Et cela se comprend !
Les autres solutions matérielles (tokens, clés de sécurité) restent coûteuses pour de petites structures.

Pour limiter ce risque, les solutions cloud comme M365, Google Workspace ou AWS proposent un module d’accès conditionnel.

En quelques mots :
C’est comme un vigile numérique : il vérifie par exemple qui je suis, d’où je viens et avec quel appareil je me connecte, avant d’accorder l’accès aux ressources.

Exemples concrets :
Un employé se connecte depuis l’étranger → accès refusé.
L’ordinateur ne respecte pas les exigences Intune → accès refusé.
Le système d’exploitation n’est pas autorisé → accès refusé.

À noter : le module « accès conditionnel » dépend de la licence souscrite.

Même si le MFA n’est pas obligatoire pour activer l’accès conditionnel, il reste l’allié incontournable d’une stratégie de sécurité robuste.

Partager :

• Partager cette page sur Linkedin
• Imprimer