Activer le MFA sur Microsoft 365 : la procédure en 30 minutes
Gratuit, rapide, et présenté par les experts en réponse à incident comme la mesure qui bloque l'immense majorité des tentatives de prise de contrôle de compte.
Pourquoi cette mesure passe avant toutes les autres
D'après les retours d'expérience d'équipes spécialisées en réponse à incident, l'activation du MFA bloque environ 99% des tentatives de prise de contrôle de compte — pour un coût nul et une mise en place qui prend une trentaine de minutes. C'est, à ce jour, le rapport effort/protection le plus favorable de toute la cybersécurité grand public et professionnelle.
La procédure
- Connectez-vous au portail d'administration Microsoft 365 avec un compte disposant des droits d'administration (portal.office.com puis l'accès Admin, ou admin.microsoft.com directement).
- Rendez-vous dans la section Sécurité, puis repérez l'entrée Authentification multifacteur (ou "Sécurité des identités" selon la formule de licence).
- Sélectionnez les comptes concernés — activez-la pour tous les comptes si possible, en commençant en priorité par les comptes administrateurs et les accès distants, qui sont les cibles les plus sensibles.
- Choisissez la méthode de vérification : application d'authentification (recommandée, plus sûre qu'un SMS interceptable), notification push, ou clé de sécurité physique pour les comptes les plus critiques.
- Testez sur un compte pilote avant un déploiement général, pour vérifier que la procédure de connexion reste fluide et que personne ne se retrouve bloqué.
- Communiquez la date d'activation aux utilisateurs concernés, avec une procédure simple pour configurer leur application d'authentification dès la prochaine connexion.
Le point souvent oublié : les accès RDP exposés
Le MFA protège les connexions aux services Microsoft 365, mais pas automatiquement un accès Bureau à distance (RDP) mal configuré. Vérifiez qu'aucun port 3389 n'est ouvert directement sur internet : c'est l'une des portes d'entrée les plus exploitées lors des intrusions préalables à une attaque par rançongiciel.