Le MFA est-il obligatoire pour les PME selon la Loi 25?

L'article 10 de la Loi 25 exige des mesures de sécurité raisonnables sans nommer le MFA. Mais la Commission d'accès à l'information a précisé en janvier 2026 que les mesures techniques recommandées incluent les identifiants robustes et le MFA. ISO 27001 A.5.17 et CIS Controls v8 IG1 6.3 et 6.4 le considèrent comme prérequis. En pratique, le MFA est désormais le standard attendu pour démontrer une diligence raisonnable.

Quel type de MFA est recommandé selon les standards?

Selon NIST SP 800-63B, l'ordre de robustesse est : FIDO2/WebAuthn/Passkeys (gold standard, résistant au phishing), clés physiques (YubiKey, Titan), application TOTP (Authy, Microsoft Authenticator). Les push notifications sont acceptables avec number matching. Le SMS et le courriel sont déconseillés en raison des vulnérabilités SIM swap et de la circularité.

Quelle procédure de révocation est attendue lors d'un départ d'employé?

ISO 27001 A.6.5 et CIS Controls v8 IG1 6.2 exigent une procédure formelle, documentée et appliquée immédiatement. La pratique attendue : désactivation du compte principal le jour du départ, révocation MFA et sessions, révocation des accès SaaS non fédérés, récupération des appareils, effacement des BYOD si politique applicable, transfert des accès admin, documentation au registre. Suppression complète après période de transfert.

Les comptes partagés sont-ils permis pour des outils communs?

L'article 10 et la CAI exigent un registre des accès. Les comptes partagés rendent impossible la traçabilité. ISO 27001 A.5.16 (Identity management) et CIS Controls v8 IG1 5.1 imposent l'inventaire et l'individualisation. Pour les outils nécessitant un accès collectif (admin réseaux sociaux, comptes Stripe), des comptes individuels avec délégation ou rôles sont la solution conforme.

Cette obligation s'applique-t-elle à tous les environnements?

Oui. La Loi 25 et les standards ne distinguent pas par environnement (Microsoft, Google, Apple, sur site, cloud). C'est l'activité de traitement de RP qui crée l'obligation. La gestion des accès est universellement applicable.

Formation Numérique · Module 3 · Exigences légales et standards
Loi 25 art. 10 + ISO 27001 + CIS Controls v8 IG1

Gestion des accès — Exigences Loi 25 et standards

L'article 10 exige des mesures raisonnables. ISO 27001 et CIS Controls v8 IG1 précisent : MFA, comptes individuels, procédure de révocation, registre des accès. Voici les obligations exactes.

Analyser mon infrastructure numérique Planifier l'accompagnement →

Contexte légal et normatif

L'article 10 de la Loi 25 est le pivot des obligations de sécurité. La CAI a précisé en 2026 ses attentes : identifiants robustes, MFA, limitation des accès, registres. ISO 27001:2022 (10 contrôles applicables à la gestion des accès) et CIS Controls v8 IG1 (#5 et #6) constituent le standard pratique de mise en œuvre.

Applicable à tout environnement. Les obligations s'appliquent indépendamment de la stack — Microsoft, Google, Apple, sur site, cloud public ou hybride.

Ce que vous devez retenir

Article 10 Loi 25 — mesures de sécurité raisonnables, MFA précisé par la CAI 2026.
ISO 27001 A.5.15 à A.8.5 — 10 contrôles couvrent le cycle de vie complet des accès.
CIS Controls v8 IG1 — #5 Account Management + #6 Access Control Management.
Procédure de révocation lors d'un départ : exigée par ISO A.6.5 et CIS 6.2.

Ce que ça implique pour votre organisation

Sans MFA généralisé, le respect de l'article 10 est difficile à démontrer face à la CAI.
Sans procédure de révocation, chaque départ d'employé expose des données.
Sans comptes individuels, le registre des accès exigé par la CAI est inopérant.

Ce que ça signifie concrètement pour vous

La CAI considère MFA et limitation des accès comme des mesures préventives recommandées en 2026 — leur absence pèse en cas d'incident.
Une fuite via un compte d'ancien employé non révoqué est la situation la plus défavorable possible — manquement clairement caractérisé.
Un audit B2B vérifie systématiquement les preuves de MFA et la procédure de révocation.

La gestion des accès est la mesure cybersec la plus efficace et la moins coûteuse à mettre en place.

Cadre juridique et normatif

Loi 25 — Article 10 (Mesures de sécurité raisonnables)

« Toute personne qui exploite une entreprise et qui détient des renseignements personnels doit prendre les mesures de sécurité propres à assurer la protection de ces renseignements et à en empêcher la communication non autorisée, compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

La CAI précise dans ses lignes directrices 2026 que les mesures techniques attendues incluent : identifiants d'authentification robustes, mesures de chiffrement, limitation des accès (moindre privilège), registres d'accès et surveillance des irrégularités, blocage des ports USB.

ISO 27001:2022 Annex A — Contrôles applicables

A.5.15 Access control policy
A.5.16 Identity management
A.5.17 Authentication information (mots de passe, MFA)
A.5.18 Access rights (octroi, révision, révocation)
A.6.1 Screening (vérifications préembauche)
A.6.5 Responsibilities after termination or change of employment
A.8.2 Privileged access rights
A.8.3 Information access restriction
A.8.5 Secure authentication

CIS Controls v8 — Implementation Group 1 (IG1)

Control 5 — Account Management : 5.1 Inventaire des comptes ; 5.2 Mots de passe robustes ; 5.3 Désactivation des comptes inactifs
Control 6 — Access Control Management : 6.1 Octroi des accès ; 6.2 Révocation à la cessation ; 6.3 MFA pour applications externes ; 6.4 MFA pour accès admin ; 6.5 MFA pour accès distant

Obligations concrètes pour les organisations

Déployer le MFA sur courriel + cloud + outils contenant des RP, pour tous les utilisateurs (pas seulement admins)
Choisir TOTP au minimum, FIDO2 pour les comptes admin — pas SMS
Supprimer les comptes partagés sur les services traitant des RP
Documenter une procédure de révocation appliquée le jour du départ
Déployer un gestionnaire de mots de passe pour tous les employés
Tenir un registre des accès (octroi, révision périodique, révocation)
Réviser les accès trimestriellement — retirer les permissions excessives accumulées

Erreur stratégique fréquente

Beaucoup d'organisations limitent le MFA aux seuls comptes administrateurs, en pensant que les comptes employés sont moins critiques.

Un compte employé est souvent la porte d'entrée du phishing — escalade de privilège ensuite
CIS Controls 6.3 exige MFA pour TOUTES les applications externes, tous les utilisateurs
L'absence de MFA généralisé fragilise la défendabilité de l'article 10

Le maillon le plus faible définit le niveau de protection — pas le maillon le plus fort.

Deux réalités possibles

✗ Sans gestion structurée

MFA partiel
Comptes partagés actifs
Anciens employés encore actifs
Aucun registre d'accès
Mots de passe réutilisés

✓ Avec gestion structurée

MFA généralisé
Comptes individuels exclusifs
Procédure de révocation immédiate
Registre des accès tenu
Gestionnaire de mots de passe déployé

Risques en cas de non-conformité

SAP (art. 90.12) — jusqu'à 10 M$ ou 2 % du CA mondial
Amende pénale (art. 91) — jusqu'à 25 M$ ou 4 % du CA mondial
Ordonnance de la CAI — déploiement du MFA, révocation des comptes, mise en place du registre
Coûts opérationnels — gestion d'incident causé par compte compromis (en moyenne plusieurs jours-personnes)
Pertes commerciales B2B — donneurs d'ouvrage exigeant la preuve de MFA et procédure de révocation

Concrètement pour une PME :

Chaque MFA non déployé est une vulnérabilité directe
Chaque ancien employé non révoqué est une porte juridique ouverte
Chaque compte partagé brise la traçabilité requise par la Loi 25

Le coût vient de l'absence de discipline — pas du MFA lui-même.

Lien avec la gouvernance PRP

La gestion des accès est traitée transversalement dans la Formation Gouvernance PRP via le module RPRP et mandat (responsabilité globale). Ce module-ci se concentre sur l'application technique opérationnelle : MFA, gestionnaires de mots de passe, procédure de révocation.

🛡️ Diagnostic rapide

MFA généralisé sur courriel + cloud + RP — tous utilisateurs?
Procédure de révocation documentée et appliquée le jour du départ?
Aucun compte partagé sur services traitant des RP + gestionnaire de mots de passe déployé?

Analyser mon infrastructure numérique →

Concrètement

La gestion des accès est universellement applicable, indépendante de la stack, et la mesure cybersec la plus efficace. Sans elle, l'article 10 et les standards ISO/CIS sont indéfendables. Avec elle, vous avez la fondation sur laquelle reposent les modules suivants (continuité, IA, cybersec, incidents).

En résumé

Article 10 + CAI 2026 — MFA, limitation, registre, identifiants robustes
ISO 27001 — 10 contrôles couvrent le cycle de vie complet
CIS Controls v8 IG1 — #5 + #6 (Account + Access Control)
SMS comme MFA — déconseillé NIST 800-63B

Pour la version pratique

Voir le guide pratique →

Vérifier votre gestion des accès

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.