Annexe A · TechnologiqueLecture 5 min·99 % des PME doivent l'inclure

A.8.5Authentification sécurisée

En 1 phrase : Personne n'accède à votre SI avec un simple mot de passe — la MFA (multi-facteurs) est obligatoire pour les comptes admin et recommandée pour tous.

Pourquoi ce contrôle est critique

99 % des attaques par compromission de compte sont stoppées par la MFA (données Microsoft sécurité 2024). C'est l'investissement sécurité avec le meilleur ROI : quasi-gratuit (Microsoft Authenticator est gratuit), efficace immédiatement, et exigé par tous les frameworks (ISO 27001, NIS2, RGPD, SOC 2).

ISO 27001 exige (A.8.5) que l'accès aux systèmes soit contrôlé par une procédure d'authentification sécurisée. En 2026, ça veut dire MFA. Un mot de passe seul n'est plus considéré comme sécurisé pour les comptes admin.

Applicable à vous ?

Réponse rapide : oui dès que vous avez ≥ 1 SaaS, ≥ 1 compte admin, ou ≥ 1 service exposé sur internet.

Pour exclure légitimement A.8.5, il faudrait être un freelance solo sans aucun compte tiers — extrêmement rare. Toutes les PME, tous les ETI, tous les groupes : A.8.5 est inclus.

Lignes directrices ISO 27002:2022

ISO 27002:2022 (§ 8.5) précise les axes d'authentification sécurisée :

Choisir une technique d'authentification adaptée à la sensibilité de l'information (mot de passe seul interdit pour comptes admin)
Préférer les techniques fortes : MFA (TOTP, push, FIDO2), authentification biométrique, certificats X.509
Limiter le nombre de tentatives infructueuses (verrouillage temporaire après 5-10 essais)
Mots de passe : longueur minimale 12 caractères en 2026, hashage avec sel (bcrypt/argon2), aucun stockage en clair
Notifier l'utilisateur en cas d'authentification réussie depuis un nouveau lieu/appareil
Journaliser toutes les tentatives d'authentification (réussies et échouées) pour la détection d'attaque
Sessions limitées dans le temps (timeout d'inactivité, durée max session)

Comment l'implémenter : 3 niveaux

Minimum acceptablePME 10-30p, maturité 1-2/5

MFA TOTP via Microsoft Authenticator ou Google Authenticator (gratuit)
MFA imposée 100% sur les comptes admin (M365, AWS, GitHub, Stripe)
MFA recommandée sur les comptes utilisateur (≥ 90 % adoption)
Politique de mots de passe : 12 caractères minimum, pas de réutilisation
Verrouillage compte après 10 tentatives échouées

0 € · 8 h de déploiement

Sweet spot PME

ProPME 30-100p, maturité 3-4/5

MFA imposée 100% comptes admin ET utilisateur (Conditional Access M365)
Clés FIDO2 (Yubikey) pour les comptes les plus sensibles
Gestionnaire de mots de passe d'entreprise (1Password, Bitwarden, Keeper)
SSO (Single Sign-On) avec authentification centralisée
Tableau de bord taux de couverture MFA (mensuel, ≥ 95 % cible)
Alerting connexion suspecte (Datadog, Splunk, M365 Defender)

5 - 15 €/utilisateur/mois

Au-delàETI > 100p, secteurs sensibles

Authentification continue (Continuous Authentication) avec scoring de risque
Just-In-Time access pour comptes privilégiés (PAM type CyberArk)
Step-up authentication pour actions sensibles
Détection d'anomalies par IA (UEBA — User Entity Behavior Analytics)
Gestion des secrets (HashiCorp Vault, AWS Secrets Manager)

20 - 100 €/utilisateur/mois

Phrase exacte pour votre SOA

SOA — A.8.5 Inclus

Statut : Inclus

Justification :
Identifié par l'analyse de risques (atelier 5 EBIOS RM, scénario "compromission compte admin SaaS critique", score 20/25). Exigence cyber-assureur AXA. Exigence contractuelle client ACME (annexe sécurité §3).

État : Implémenté (niveau Pro)
MFA TOTP via Microsoft Authenticator imposée à 100% des comptes admin (12/12) et 96% comptes utilisateur (41/43, 2 en cours). FIDO2 Yubikey pour les comptes AWS racine. Politique de mots de passe : 12 caractères, hashage bcrypt, pas de réutilisation (vérifié via 1Password Audit).

Preuve :
PSSI-08 § 4.2 + capture Microsoft Entra ID 2026-04-15 + Conditional Access policy + politique d'accès kyrionn-policy-mfa.pdf

Mettre en place A.8.5 : 3 chemins concrets

Avec Kyrionn

1Connecter votre tenant M365/Google Workspace
2Auto-check MFA déployée par compte
3Alerte sur tout compte sans MFA
4Rapport mensuel automatique
5Suivi du taux de couverture en temps réel

30 min setup

Démarrer gratuitement

Avec Entra ID natif

1Activer Conditional Access (M365 Premium)
2Imposer MFA pour tous les comptes
3Configurer les exceptions (comptes service)
4Audit Logs activés
5Reporting manuel via Power BI

4-8 h setup · M365 Business Premium 17 €/u/mois

Avec Microsoft Authenticator gratuit

1Activer MFA basique (gratuit M365)
2Communiquer la procédure aux collaborateurs
3Suivre l'adoption manuellement
4Pas de Conditional Access (pas d'imposition)
5Adoption volontaire incomplète

2 h · 0 €

Contrôles liés à A.8.5

A.5.15Contrôle d'accès

A.8.5 est le HOW de A.5.15

A.5.16Gestion des identitésà venir

Cycle de vie comptes

A.5.17Informations d'authentificationà venir

Mots de passe, tokens

A.5.18Droits d'accèsà venir

Privilèges

A.8.2Privilèges d'accèsà venir

Comptes admin séparés

A.8.15Loggingà venir

Tentatives d'authentification

Retour à l'index Annexe A Fiche suivante : A.8.7 Antivirus / EDR

Annexe A · TechnologiqueLecture 5 min·99 % des PME doivent l'inclure

A.8.5Authentification sécurisée

En 1 phrase : Personne n'accède à votre SI avec un simple mot de passe — la MFA (multi-facteurs) est obligatoire pour les comptes admin et recommandée pour tous.

Pourquoi ce contrôle est critique

Applicable à vous ?

Réponse rapide : oui dès que vous avez ≥ 1 SaaS, ≥ 1 compte admin, ou ≥ 1 service exposé sur internet.

Pour exclure légitimement A.8.5, il faudrait être un freelance solo sans aucun compte tiers — extrêmement rare. Toutes les PME, tous les ETI, tous les groupes : A.8.5 est inclus.

Lignes directrices ISO 27002:2022

ISO 27002:2022 (§ 8.5) précise les axes d'authentification sécurisée :

Choisir une technique d'authentification adaptée à la sensibilité de l'information (mot de passe seul interdit pour comptes admin)
Préférer les techniques fortes : MFA (TOTP, push, FIDO2), authentification biométrique, certificats X.509
Limiter le nombre de tentatives infructueuses (verrouillage temporaire après 5-10 essais)
Mots de passe : longueur minimale 12 caractères en 2026, hashage avec sel (bcrypt/argon2), aucun stockage en clair
Notifier l'utilisateur en cas d'authentification réussie depuis un nouveau lieu/appareil
Journaliser toutes les tentatives d'authentification (réussies et échouées) pour la détection d'attaque
Sessions limitées dans le temps (timeout d'inactivité, durée max session)

Comment l'implémenter : 3 niveaux

Minimum acceptablePME 10-30p, maturité 1-2/5

MFA TOTP via Microsoft Authenticator ou Google Authenticator (gratuit)
MFA imposée 100% sur les comptes admin (M365, AWS, GitHub, Stripe)
MFA recommandée sur les comptes utilisateur (≥ 90 % adoption)
Politique de mots de passe : 12 caractères minimum, pas de réutilisation
Verrouillage compte après 10 tentatives échouées

0 € · 8 h de déploiement

Sweet spot PME

ProPME 30-100p, maturité 3-4/5

MFA imposée 100% comptes admin ET utilisateur (Conditional Access M365)
Clés FIDO2 (Yubikey) pour les comptes les plus sensibles
Gestionnaire de mots de passe d'entreprise (1Password, Bitwarden, Keeper)
SSO (Single Sign-On) avec authentification centralisée
Tableau de bord taux de couverture MFA (mensuel, ≥ 95 % cible)
Alerting connexion suspecte (Datadog, Splunk, M365 Defender)

5 - 15 €/utilisateur/mois

Au-delàETI > 100p, secteurs sensibles

Authentification continue (Continuous Authentication) avec scoring de risque
Just-In-Time access pour comptes privilégiés (PAM type CyberArk)
Step-up authentication pour actions sensibles
Détection d'anomalies par IA (UEBA — User Entity Behavior Analytics)
Gestion des secrets (HashiCorp Vault, AWS Secrets Manager)

20 - 100 €/utilisateur/mois

Phrase exacte pour votre SOA

SOA — A.8.5 Inclus

Statut : Inclus

Preuve :
PSSI-08 § 4.2 + capture Microsoft Entra ID 2026-04-15 + Conditional Access policy + politique d'accès kyrionn-policy-mfa.pdf

Mettre en place A.8.5 : 3 chemins concrets

Avec Kyrionn

1Connecter votre tenant M365/Google Workspace
2Auto-check MFA déployée par compte
3Alerte sur tout compte sans MFA
4Rapport mensuel automatique
5Suivi du taux de couverture en temps réel

30 min setup

Démarrer gratuitement

Avec Entra ID natif

1Activer Conditional Access (M365 Premium)
2Imposer MFA pour tous les comptes
3Configurer les exceptions (comptes service)
4Audit Logs activés
5Reporting manuel via Power BI

4-8 h setup · M365 Business Premium 17 €/u/mois

Avec Microsoft Authenticator gratuit

1Activer MFA basique (gratuit M365)
2Communiquer la procédure aux collaborateurs
3Suivre l'adoption manuellement
4Pas de Conditional Access (pas d'imposition)
5Adoption volontaire incomplète

2 h · 0 €

Contrôles liés à A.8.5

A.5.15Contrôle d'accès

A.8.5 est le HOW de A.5.15

A.5.16Gestion des identitésà venir

Cycle de vie comptes

A.5.17Informations d'authentificationà venir

Mots de passe, tokens

A.5.18Droits d'accèsà venir

Privilèges

A.8.2Privilèges d'accèsà venir

Comptes admin séparés

A.8.15Loggingà venir

Tentatives d'authentification

Retour à l'index Annexe A Fiche suivante : A.8.7 Antivirus / EDR