Temps de lecture : 18 minutes

Vous disposez d’un tenant Microsoft 365  à titre personnel ou professionnel  et vous pensez être bien protégé car vous avez activé le MFA. Bonne direction. Mais votre vie numérique ne se limite pas à Microsoft : vos applis bancaires, vos réseaux sociaux, votre email ont eux aussi leur propre MFA. Et ils ont tous un point commun : votre téléphone. Un seul appareil perdu, et c’est tout qui s’effondre.

Tenant perso ou pro : même exigence de sécurité

Un tenant personnel peut contenir OneDrive avec des documents sensibles, des accès familiaux partagés, des abonnements liés à une carte bancaire. Un tenant professionnel porte l’ensemble de l’activité. Dans les deux cas, la logique est identique : plusieurs facteurs indépendants, sur des supports physiques distincts, avec un plan de bascule testé.

🏢
Tenant professionnel
Messagerie, SharePoint, Teams, ERP connecté. Un compte admin compromis = arrêt d’activité potentiel. Obligations RGPD/NIS2, traçabilité, Conditional Access avec Compliant Device Intune.
🏠
Tenant personnel / famille
OneDrive, photos, documents d’identité numérisés, abonnements. Vous êtes votre propre support — pas de helpdesk pour vous débloquer. La résilience doit être encore plus autonome.

Votre vie numérique complète est protégée par MFA — et tout passe par votre téléphone

Ce que l’on oublie souvent : Microsoft 365 n’est pas votre seul service avec un second facteur. Vos applications bancaires, vos réseaux sociaux, votre email principal, vos services de streaming — tous utilisent le MFA. Et la plupart reposent sur votre téléphone comme canal de validation.

⚠ Le SPOF (Single Point of Failure) invisible

Si votre téléphone est perdu, volé ou cassé : Authenticator inaccessible, SMS OTP bloqué (si eSIM), applis bancaires verrouillées (biométrie liée à l’appareil), connexion réseaux sociaux impossible. Un appareil unique = risque unique maximal.

🏦
Banque en ligne

SMS OTP App dédiée

Validation des virements, accès compte. Nécessite souvent l’application native liée à l’appareil — non transférable sans ré-enrôlement.
💳
Paiement / Carte

SMS 3DS App banque

Validation 3D Secure pour les achats en ligne. Si eSIM bloquée ou téléphone perdu : paiements en ligne impossibles.
📘
Facebook / Meta

Authenticator SMS

Meta propose Authenticator TOTP ou SMS. La clef FIDO2 est aussi acceptée. Pensez à exporter vos codes de récupération.
📸
Instagram / X

Authenticator FIDO2

Instagram (Meta) supporte TOTP et FIDO2. X (Twitter) a supprimé le SMS gratuit — l’app Authenticator est obligatoire ou votre propre clef FIDO2.
📧
Gmail / Outlook perso

Authenticator FIDO2

Google et Microsoft proposent TOTP, passkey et FIDO2. L’email est souvent le maillon de récupération de tous les autres services — à sécuriser en priorité.
🛒
Amazon / e-commerce

Authenticator Email

Amazon supporte TOTP. Nombreux e-commerces utilisent un lien email comme second facteur — d’où l’importance de sécuriser l’email en premier.
💡 La règle d’or des applications MFA
  • Privilegiez toujours TOTP (Authenticator) ou FIDO2 sur le SMS — le SMS est interceptable (SIM swap, SS7), l’eSIM perdue bloque tout
  • Activez la FIDO2 partout où c’est supporté — banque, Google, Meta, Microsoft
  • Sauvegardez les codes de récupération de chaque service dans un gestionnaire de mots de passe ou coffre physique
  • L’email = clef de voûte — sécurisez-le avec FIDO2 en priorité absolue

Les 3 portails à auditer : Microsoft Perso, Microsoft Pro, Google

Derrière les concepts de MFA et de passkey, il y a des interfaces concrètes où vous gérez réellement vos méthodes d’authentification. Ces trois portails sont les points d’entrée incontournables — et la majorité des utilisateurs ne les a jamais visités une seule fois après leur configuration initiale. C’est une erreur.

Chacun de ces portails permet de voir, ajouter, supprimer et auditer vos méthodes de connexion (MFA, passkeys, clefs FIDO2, mots de passe d’application, applications tierces enregistrées). Une revue régulière — au minimum une fois par an — est une hygiène de sécurité fondamentale.

🪟
Microsoft Compte Personnel
Outlook / Hotmail · Xbox · OneDrive · Microsoft 365 Famille
account.live.com/proofs/Manage
Ce que vous pouvez gérer
Passkey — Face/empreinte/PIN ou clef FIDO2 hardware
Microsoft Authenticator — notifications push
Code OTP — application d’authentification tierce
Email de récupération — adresse de secours
Mots de passe d’application — pour apps non compatibles MFA moderne
Vérification en 2 étapes (activation / désactivation)
SMS supprimé fin 2026 : Microsoft a annoncé en mai 2026 la suppression du SMS comme méthode de connexion et de récupération pour les comptes personnels. Migrez vers passkey ou Authenticator dès maintenant.

Ouvrir le portail

🏢
Microsoft 365 Professionnel
Entra ID · Microsoft 365 Business · Azure · Tenant d’entreprise
mysignins.microsoft.com/security-info
Ce que vous pouvez gérer
Passkey FIDO2 — clef hardware ou Authenticator (device-bound ou synced)
Microsoft Authenticator — push + TOTP
Clef de sécurité FIDO2 — YubiKey, Titan, etc.
Windows Hello — biométrie liée à l’appareil
Téléphone / Email — méthodes SSPR (self-service reset)
Applications enregistrées et consentements OAuth visibles
Enforcement juillet 2026 : Microsoft impose le MFA pour l’enregistrement de credentials passwordless à partir du 13 juillet 2026. Les utilisateurs sans méthode enregistrée seront invités à en configurer une dès le 6 juillet.

Ouvrir le portail

🔵
Google / Gmail
Google Account · Gmail · Drive · YouTube · Google Workspace
myaccount.google.com/security
Ce que vous pouvez gérer
Passkeys — stockées dans Google Password Manager, iCloud, ou clef FIDO2
Clef de sécurité FIDO2 — YubiKey, Google Titan (250 passkeys)
Google Authenticator / TOTP — appli tierce compatible
Invite Google — notification push sur appareil de confiance
SMS / Appel — fallback (à remplacer par FIDO2)
Mots de passe d’application — pour clients email legacy (IMAP)
Applications tierces avec accès — revue des consentements OAuth
🔑 L’email Google = clé de voûte : votre Gmail est souvent utilisé pour réinitialiser les mots de passe de dizaines d’autres services. Sa sécurisation FIDO2 est une priorité absolue.

Ouvrir le portail

🔍 Checklist de revue — Ce qu’il faut vérifier sur chaque portail

📋 Méthodes enregistrées
  • Toutes les méthodes listées sont-elles les vôtres ?
  • Aucun appareil inconnu en MFA ?
  • Supprimez les méthodes obsolètes (ancien téléphone, email inactif)
  • SMS encore actif ? Remplacez-le par FIDO2 ou Authenticator
  • Au moins 2 méthodes indépendantes enregistrées ?
🔑 Passkeys & FIDO2
  • Passkey principale enregistrée et testée ?
  • FIDO2 backup enregistrée (2e clef) ?
  • Les noms des clefs sont-ils descriptifs ? (ex. “YubiKey bureau”)
  • Supprimez les clefs perdues ou inutilisées
  • Sur le compte pro : vérifiez la politique FIDO2 dans Entra Admin
🔗 Applications tierces
  • Quelles apps ont accès à votre compte via OAuth ?
  • Des apps que vous n’utilisez plus ont-elles encore accès ?
  • Révoquez les accès d’apps inconnues ou obsolètes
  • Mots de passe d’application listés — révocation si plus utilisés
  • Sur le pro : vérifiez les consentements Enterprise Apps dans Entra
📅 Cadence de revue recommandée
  • Annuellement minimum : audit complet des 3 portails — méthodes MFA, passkeys, applications tierces
  • Après chaque changement d’appareil : supprimez l’ancien téléphone ou ordinateur des méthodes enregistrées
  • Après chaque incident (perte, vol, suspicion) : revue immédiate + révocation des méthodes exposées
  • Avant les vacances : vérifiez que vos méthodes PRA (FIDO2 backup, spare) sont bien enregistrées et fonctionnelles

Gestionnaire de mots de passe : la fondation indispensable

Avant même de parler de MFA et de FIDO2, il y a une pratique fondamentale que trop de gens ignorent encore : utiliser un gestionnaire de mots de passe. Un MFA fort sur un compte dont le mot de passe est Password123! partagé entre 12 services ne protège pas grand chose.

💡 Pourquoi c’est indispensable

Un gestionnaire de mots de passe génère un mot de passe unique, long et aléatoire pour chaque service. Si un service est compromis, les autres restent protégés. C’est la base de la segmentation des accès — avant même d’activer le MFA.

🗄️
Solution locale
La base de données chiffrée est stockée sur votre machine. Vous contrôlez totalement vos données — aucun tiers n’y accède. Synchronisation manuelle via votre propre cloud (OneDrive, Nextcloud). Idéal pour les profils techniques ou très soucieux de la confidentialité.
☁️
Solution cloud / SaaS
Le coffre est hébergé chez l’éditeur (chiffré côté client, zéro connaissance). Synchronisation automatique multi-appareils, partage d’équipe natif, interface soignée. Idéal pour les entreprises, les équipes, ou les utilisateurs qui privilégient la praticité.
Sécurité des mots de passe et coffre numérique

Un gestionnaire de mots de passe transforme “Password123!” en “t7#Kp9$mXz@2nQvR” — unique, long, jamais réutilisé
🔐
KeePassXC
La référence open-source locale — gratuit, sans cloud, sans compromis
GratuitOpen SourceLocal
  • Chiffrement AES-256 / ChaCha20 — aucune donnée n’est envoyée en ligne
  • Extension navigateur (Chrome, Firefox, Edge) pour l’autofill
  • Générateur de mots de passe intégré
  • Support TOTP (codes OTP directement dans l’app)
  • Compatible YubiKey FIDO2 comme facteur d’ouverture du coffre
  • Synchronisation optionnelle via OneDrive, Dropbox, Nextcloud — vous gardez le contrôle
  • Windows, macOS, Linux — 100% gratuit, sans publicité, sans tracking
📱 Compagnons mobiles recommandés
KeePassXC n’a pas d’app mobile officielle — ces apps compatibles .kdbx sont recommandées par l’équipe :
Android : KeePassDXAndroid : KeePass2AndroidiOS : StrongboxiOS : KeePassium
Prix : 100% gratuit · Open source AGPL · keepassxc.org
🔑
Passbolt
Open-source, conçu pour les équipes et le partage sécurisé en entreprise
CE GratuitOpen SourceCloud ou On-PremÉquipes
  • Chiffrement end-to-end OpenPGP — architecture zéro connaissance
  • Partage de credentials avec contrôle granulaire des droits par groupe/équipe
  • Auto-hébergeable ou cloud managé (SOC2 Type 2)
  • Synchronisation LDAP/AD et SSO (version Pro)
  • Extension navigateur + app mobile Android & iOS
  • API JSON pour automatisation et intégration CI/CD
  • Audit log et traçabilité des accès
Prix : CE gratuit (self-hosted) · Pro à partir de ~4,50 €/utilisateur/mois (min. 10 users) · Cloud sur devis · passbolt.com
🇫🇷
LockPass by LockSelf
La pépite française — certifiée ANSSI, hébergement souverain en France
🇫🇷 FrançaisCertifié ANSSI CSPNCloud FR / On-PremEntreprises
  • Seule solution certifiée CSPN par l’ANSSI — la plus haute instance française de cybersécurité
  • Hébergement 100% français (Scaleway, Outscale) ou on-premises — données jamais hors de France
  • Chiffrement end-to-end, MFA intégré
  • Partage sécurisé par groupes avec héritage de permissions
  • Synchronisation Active Directory / LDAP
  • Suite complète : LockPass (mots de passe) + LockTransfer (fichiers) + LockFiles (documents)
  • Utilisé par SNCF, BNP Paribas, Bouygues — plus de 3 000 organisations
  • Conforme RGPD, HDS, ISO 27001, SecNumCloud
  • Application mobile iOS & Android
Prix : Sur devis · Essai 14 jours gratuit · lockself.com
🛡️
Keeper Security
Solution enterprise zero-knowledge — particuliers, familles et grandes entreprises
CloudEnterprisePerso / Famille
  • Architecture zero-knowledge et zero-trust — Keeper ne peut jamais lire vos données
  • Chiffrement AES-256, 2FA/MFA renforcé, FIDO2 supporté
  • Stockage de fichiers sécurisé jusqu’à 10 Go
  • Effacement automatique après 5 tentatives échouées (mobile)
  • RBAC, audit logs, SIEM integration, SCIM pour l’entreprise
  • BreachWatch — surveillance dark web des identifiants compromis
  • Disponible sur Windows, macOS, Linux, iOS, Android — offline possible
  • MSP Partner Program — idéal pour les revendeurs IT (Keeper MSP)
Prix : Perso ~1,79 $/mois · Famille ~3,83 $/mois (5 users) · Business ~4 $/user/mois · Enterprise ~6 $/user/mois · keepersecurity.com
🗺 Guide de choix rapide
  • Particulier technique, soucieux de la confidentialité : KeePassXC (local) + KeePassDX/Strongbox sur mobile
  • Particulier ou famille, facilité d’usage : Keeper Security (perso/famille) ou Bitwarden (freemium cloud open-source)
  • Équipe IT, PME, auto-hébergement : Passbolt CE (open-source, gratuit) ou Passbolt Pro
  • Entreprise française, conformité RGPD/ANSSI, données souveraines : LockPass by LockSelf — le seul certifié CSPN ANSSI
  • MSP ou grande entreprise internationale : Keeper Enterprise ou Keeper MSP

Le double Authenticator : la solution concrète

La réponse opérationnelle au SPOF téléphone est simple : Microsoft Authenticator configuré sur deux appareils distincts et deux clef physique d’accès . Chaque compte ajouté dans l’app peut être enregistré sur plusieurs appareils — c’est une fonctionnalité native, pas un contournement.

Deux smartphones avec application d'authentification

Deux appareils, un seul Authenticator synchronisé — la configuration minimum pour un PRA réel
Téléphone 01
Principal — sur soi
Authenticator actif

Votre appareil quotidien. Backup cloud activé (compte Microsoft). Tous vos comptes configurés. SIM physique recommandée. Enrôlé Intune si CA Compliant requis.

Téléphone 02
Spare PRA — coffre / voyage
Authenticator miroir

Même configuration que le principal via la restauration du backup cloud. Doit être pré-enrôlé Intune. SIM physique ou eSIM de secours provisionnée. Testé régulièrement.

⚙ Comment synchroniser Authenticator sur 2 appareils
  • Sur l’app Authenticator principale : Paramètres → Sauvegarde cloud (compte Microsoft requis)
  • Sur le second appareil : installer Authenticator → Restaurer depuis la sauvegarde lors de la configuration ou configurer celui-ci si la restauration est caduc
  • Vérifier que tous les comptes sont présents et fonctionnels (générer un code OTP pour chacun)
  • Note : pour certains comptes pro (Entra ID avec SSPR), une ré-authentification admin peut être nécessaire sur le second appareil

SIM physique vs eSIM en vacances : choisir le bon compromis

La question SIM physique / eSIM n’est pas binaire. Chaque option a ses avantages selon le scénario. L’important est de ne pas être dépendant d’un seul canal de connectivité en cas de perte de votre appareil principal.

Scénario SIM physique eSIM WiFi seul
Perte du téléphone ✓ Transférable en secondes sur le spare ⚠ 24–72h pour re-provisioning opérateur ⚠ Suffisant si TOTP/FIDO2, bloquant si SMS OTP requis
Vacances à l’étranger ⚠ Roaming coûteux hors EU ✓ eSIM locale provisionnée avant départ ✓ Hôtels / restaurants suffisant si pas de SMS OTP
Applis bancaires / 3DS ✓ SMS instantané sur le spare ✗ Bloqué si swap eSIM non fait ✗ SMS impossible — carte bloquée en ligne
Authenticator TOTP ✓ Fonctionne sans réseau ✓ Fonctionne sans réseau ✓ Fonctionne sans réseau
FIDO2 hardware ✓ Fonctionne totalement hors ligne ✓ Fonctionne totalement hors ligne ✓ Fonctionne totalement hors ligne
💡 La stratégie SIM recommandée pour les vacances
  • Téléphone principal : SIM physique pour la résilience maximale (transférable sur le spare si besoin)
  • Téléphone spare : SIM physique propre + eSIM de secours pré-provisionnée (opérateur local ou forfait data international) activable en un tap
  • Si vous êtes uniquement eSIM : provisionnez une eSIM de voyage avant le départ, et vérifiez que vos MFA critiques n’utilisent que du TOTP/FIDO2 (pas de SMS)
  • Internet seul suffit si tous vos MFA sont en TOTP ou FIDO2 — mais vérifiez vos applis bancaires (certaines exigent encore le SMS 3DS)

Intune & Compliant Device : la couche oubliée du PRA

Si vous avez déployé des politiques d’Accès Conditionnel (Conditional Access) sur votre tenant avec l’exigence de device compliance, votre téléphone spare doit être pré-enrôlé dans Intune. Sinon, même une FIDO2 valide sera bloquée par la policy.

🛡 Conditional Access + Intune : ce que ça change pour votre PRA

Si votre policy CA exige un Compliant Device, votre spare DOIT être pré-enrôlé avant d’en avoir besoin. Vérifiez son statut dans le portail Endpoint Manager au moins deux fois par an.

Appareil non enrôlé

Même FIDO2 ou passkey valide : accès bloqué si la policy CA requiert Compliant Device. Le spare doit être pré-enrôlé avant la crise.

Enrôlement préventif

Enrôlez le téléphone spare dès l’achat. Vérifiez sa conformité dans Endpoint Manager régulièrement. En vacances, emportez-le chargé.

Break glass accounts

Les comptes de secours admin doivent être exclus des policies CA Compliant Device — c’est leur raison d’être.

Architecture complète — schéma visuel

Le schéma ci-dessous représente l’architecture cible : le compte Entra ID au centre, les méthodes d’authentification (passkey, double
Authenticator, double FIDO2), et l’ensemble des applications de votre vie numérique qui dépendent de ce MFA.

Architecture MFA complète — Tenant · Apps · PRA · SIM
Architecture MFA complète — Vie numérique & PRATenant · Apps bancaires · Réseaux sociaux · Double Authenticator · FIDO2 · SIMPasskeyAuthentification principaleCompte Entra IDTenant Microsoft 365FIDO2 principaleQuotidien · trousseauYubiKey 5 NFCFIDO2 backupCoffre-fort · PRAJamais utilisée au quotidien📱 Téléphone principalMS Authenticator actifIntune enrôlé ✓ · SIM physiqueBackup cloud activé ✓Sur soi en permanence📱 Téléphone spare PRAAuthenticator miroir ✓Intune pré-enrôlé ✓SIM physique + eSIM secoursCoffre / bagage à main vacancesDouble AuthenticatorSIM physiqueeSIM risquéeSIM physique+ eSIM secours ✓APPLICATIONS — VIE NUMÉRIQUE COMPLÈTE🏦 Banque / PaiementSMS 3DS · App dédiéeFIDO2 si supporté⚠ Bloqué si eSIM perdue📧 Email / GoogleTOTP · Passkey · FIDO2Clé de voûte de tous✓ Sécurisez en priorité absolue📱 Réseaux sociauxFacebook · Instagram · XTOTP / FIDO2 supportésCodes récup. à sauvegarder🛒 E-commerceAmazon · FNAC · etc.TOTP ou lien email☁ Cloud / iCloudOneDrive · DropboxTOTP · Passkey · FIDO2🎮 Gaming / StreamingSteam · Netflix · etc.TOTP recommandéPORTAILS DE GESTION MFA — AUDIT RECOMMANDÉ🪟 Microsoft PersoOutlook · Xbox · OneDrive · M365 Familleaccount.live.com/proofs/Manage✓ Passkey ✓ FIDO2 ✓ Authenticator⚠ SMS supprimé déc. 2026🏢 Microsoft 365 ProEntra ID · Azure · Tenant entreprisemysignins.microsoft.com/security-info✓ FIDO2 ✓ Passkey ✓ W.HelloEnforce MFA · 13 juil. 2026🔵 Google / GmailGoogle Account · Workspace · Drivemyaccount.google.com/security✓ Passkey ✓ FIDO2 ✓ TOTP⚠ Email = clé de voûte de tout🔍 Auditez ces 3 portails au minimum une fois par an — méthodes MFA, passkeys, applications tierces enregistréesAuth forte principaleBackup/coffreSpare PRA IntuneCompte centralApplications

Le

scénario Quotidien ou en  vacances : tout est dans votre téléphone

Plage vacances

Départ en vacances — votre vie numérique entière tient dans un objet de 200g.

Carte d’embarquement, réservations hôtel, Authenticator, applications bancaires, carte bancaire dématérialisée, documents numérisés, accès professionnels. Concentration de risque maximale sur un appareil unique. Un vol, une chute dans la piscine, une batterie morte sans chargeur — les scénarios sont nombreux. L’anticipation, elle, est simple.

🏖 Checklist PRA Vacances — Avant de partir

L’anticipation réduit le stress et accélère le retour à la normale. Préparez le blackout avant qu’il arrive.

📱
Double téléphone en bagage à main

Le spare chargé, en mode avion, avec Authenticator synchronisé. Jamais en soute. SIM physique transférable ou eSIM de voyage pré-provisionnée.

💳
Carte bancaire physique de secours

Dans un second portefeuille ou sac séparé. Si votre téléphone est inaccessible, Apple Pay et Google Pay sont bloqués — la carte physique est votre fallback.

📄
Copies de documents

CNI, passeport, permis de conduire — copie papier plastifiée dans la valise + copie numérique chiffrée sur cloud, pas uniquement en local sur votre téléphone.

🔑
FIDO2 en bagage à main

Votre clef FIDO2 principale voyage avec vous. Passe les contrôles de sécurité. Peut débloquer votre compte depuis n’importe quel ordinateur, avec ou sans réseau mobile.

📡
SIM ou eSIM de secours provisionnée

Si vous êtes en eSIM, provisionnez une eSIM locale ou internationale avant le départ. Si vos MFA sont tous en TOTP/FIDO2, le WiFi de l’hôtel suffit pour les accès Microsoft.

📞
Numéros d’urgence sur papier

Opposition carte bancaire, support Microsoft, numéro opérateur — notés sur papier. Un classique que l’ère du tout-numérique a fait disparaître des habitudes.

La règle des 3-2-1 appliquée à la vie numérique : 3 moyens d’accès, sur 2 supports distincts, dont 1 physique totalement hors réseau. Anticipez le blackout — avant les vacances.
🛄 À ne jamais faire en voyage
  • Mettre le seul téléphone avec tous ses accès dans un bagage en soute
  • Voyager sans carte bancaire physique de secours
  • Partir sans avoir testé le spare au moins 48h avant
  • Laisser sa clef FIDO2 à la maison “pour ne pas la perdre”
  • Compter uniquement sur le SMS pour les applis bancaires sans plan B
  • Ne pas avoir ses codes de récupération accessibles hors appareil

Testez votre PRA — 20 minutes, deux fois par an

Un plan non testé n’est pas un plan, c’est un espoir. Voici le protocole minimum.

1
Sortez le téléphone spare
Charge, SIM active, Authenticator synchronisé, statut Intune Compliant dans le portail Endpoint Manager.
2
Simulez la perte du téléphone principal
Connectez-vous sur myaccount.microsoft.com depuis un navigateur privé, en utilisant uniquement le spare. Vérifiez chaque application critique.
3
Testez la FIDO2 backup
Sortez la clef du coffre. Branchez-la, connectez-vous au portail Entra ID. Vérifiez que la policy CA ne bloque pas.
4
Testez l’accès aux apps bancaires et réseaux sociaux
Connectez-vous depuis le spare sur chaque service critique : banque, email, Meta, Google. Identifiez les services qui bloquent et corrigez.
5
Documentez et planifiez
Notez les blocages, corrigez-les. Planifiez le prochain test dans 6 mois. Intégrez au PCA si tenant professionnel.

Récapitulatif — L’architecture complète

Élément Rôle Stockage Intune Priorité
Passkey Auth principale passwordless Authenticator / iCloud Fondamental
FIDO2 clef 1 Auth forte quotidienne Trousseau / bureau Fondamental
FIDO2 clef 2 Accès urgence PRA Coffre-fort / voyage Critique PRA
Tél. principal Authenticator quotidien Sur soi Enrôlé ✓ Opérationnel
Tél. spare PRA Authenticator miroir Coffre + voyage Pré-enrôlé ✓ Critique PRA
SIM physique spare Indépendance opérateur Dans le spare Recommandé
Break glass accounts Accès admin ultime Coffre / hors réseau Exclu CA Admin requis
Codes de récupération Fallback tous services Gestionnaire + papier Critique

Un gestionnaire de mots de passe unique par service, un MFA fort sur chaque compte — et pour les deux, des dispositifs de secours testés : c’est l’équation de base. Le MFA est une condition nécessaire, pas suffisante. La passkey est une avancée réelle. Le double Authenticator sur deux appareils est le minimum opérationnel. La FIDO2 est votre assurance tous risques. Et les codes de récupération de chaque service sont votre filet de sécurité ultime.

Votre vie numérique — tenant Microsoft, banque, email, réseaux sociaux — dépend toute de la même chaîne. Renforcez chaque maillon avant les vacances. Testez votre plan. Anticipez le blackout.