Vous déployez la MFA et des dirigeants exigent une dérogation « par commodité ». Comment gérez-vous cela ?
Réponse courte
Les dirigeants sont précisément les comptes que veulent les attaquants (BEC, fraude au virement), donc les exempter inverse le modèle de risque. Résolvez la friction, pas le contrôle : déployez des passkeys/FIDO2 résistants au phishing, plus rapides que les codes. Céder à la dérogation détruit la crédibilité du programme et laisse vos comptes de plus grande valeur sans protection. Abandonner le projet MFA, c'est renoncer à un contrôle de premier ordre. L'activer en douce dans leur dos détruit la confiance et la responsabilité.
Cette question relève autant de l'influence et de la communication du risque que de l'authentification. Le contrôle techniquement correct n'est pas négociable ; l'habileté consiste à le faire passer sans perdre l'auditoire.
Pourquoi exempter les dirigeants est à contresens
Les acteurs malveillants ciblent les personnes ayant le plus d'autorité et d'accès. Les comptes de dirigeants sont la rampe de lancement de la fraude au président (BEC) et de la fraude au virement, et ils détiennent des données stratégiques sensibles. Les exempter concentre le plus de risque sur les comptes les moins protégés — exactement l'inverse de ce que devrait faire un programme fondé sur le risque. Une dérogation « par commodité » est en réalité une acceptation de risque non gérée que l'équipe sécurité assumera quand cela tournera mal.
Résoudre la friction, garder le contrôle
La bonne approche recadre la plainte : le problème est la friction, pas la MFA elle-même. Les clés de sécurité FIDO2 ou passkeys résistantes au phishing sont souvent plus rapides que la saisie d'un code à usage unique — une simple touche ou une biométrie — et elles déjouent le phishing et les attaques par proxy MITM qui contournent TOTP et SMS. Vous offrez aux dirigeants une meilleure expérience et une protection plus forte, transformant une confrontation en victoire.
Pourquoi les distracteurs sont faux
- Accorder la dérogation. Laisse vos comptes les plus précieux comme ventre mou et signale que les contrôles sont facultatifs pour les puissants, ce qui érode tout le programme.
- Abandonner le projet MFA. Jeter l'un des contrôles à plus fort impact et plus faible coût à cause de résistances, c'est un manque de courage et de devoir.
- L'activer quand même en douce. Agir dans le dos de la direction est peut-être techniquement « sûr », mais cela brise la confiance, contourne la responsabilité et explosera dès qu'ils s'en apercevront — emportant votre crédibilité.
Ce que sonde l'interlocuteur
Il veut voir que vous tenez la ligne sur un contrôle critique tout en faisant preuve d'empathie envers les dirigeants, que vous comprenez pourquoi les dirigeants sont des cibles de grande valeur, et que vous privilégiez des facteurs résistants au phishing plutôt que des SMS ou codes d'application plus faibles. Les meilleurs candidats présentent cela comme l'offre d'une option plus rapide et plus sûre — pas comme un combat.
Questions de suivi probables
- Pourquoi FIDO2/WebAuthn est-il considéré comme résistant au phishing alors que TOTP et SMS ne le sont pas ?
- Comment construiriez-vous l'argumentaire métier face à un dirigeant sceptique ?
- Quels indicateurs suivriez-vous pour prouver que la MFA a réduit le risque de prise de contrôle de compte ?