Arguments en faveur d’une couche MFA indépendante dans les environnements Microsoft
Le changement discret dont personne ne parle… Au cours des dernières années, il s’est passé quelque chose que la plupart des MSP n’avaient pas prévu : leurs clients sont passés à Microsoft 365, ont adopté Entra ID comme fournisseur d’identité, puis ont commencé à utiliser Microsoft Authenticator pour l’authentification multifacteur. C’était logique à l’époque. C’était simple, inclus dans la licence, et ça fonctionnait.
Quelque part en cours de route, cependant, une décision stratégique a été prise par défaut. Microsoft est devenu le fournisseur d’identité, le répertoire, la solution de stockage des identifiants et le fournisseur de MFA. Tout à la fois. Pas parce que quelqu’un a évalué les options et décidé que c’était la meilleure architecture, mais parce que c’était la solution la plus simple.
Pour les MSP, cela pose un problème qui dépasse la technologie. Lorsque l’ensemble du stack d’identité d’un client repose sur un seul fournisseur, vous ne maîtrisez plus l’expérience d’authentification. Vous ne définissez pas les stratégies ni ne gérez le processus de récupération des données. Et si ce fournisseur modifie ses conditions, augmente ses prix ou subit une panne, vos clients en subissent directement les conséquences, sans que vous puissiez proposer une alternative.
L’identité est une infrastructure ; traitez-la comme telle.
Nous ne dirigerions pas une entreprise sans sauvegarder nos données. Nous ne pourrions pas non plus fonctionner sans un plan de reprise pour nos systèmes. Pourtant, la plupart des entreprises n’ont aucun plan de sauvegarde pour leur identité : toute leur couche d’authentification repose sur un seul fournisseur, et si un problème se produit ou si la feuille de route du fournisseur s’écarte de leurs besoins, elles n’ont aucune solution de repli.
Il s’agit d’un phénomène de grande ampleur : d’après Microsoft, Entra ID est l’une des plus grandes plateformes d’identité au monde ; elle traite quotidiennement des milliards de demandes d’authentification. Cela représente un niveau de confiance considérable accordé à une seule plateforme. Pour la grande majorité de ces entreprises, notamment les PME, Microsoft n’est pas un simple élément de leur infrastructure d’identité ; il est leur infrastructure d’identité.
La MFA native de Microsoft est robuste. Elle fonctionne et est couverte par la licence. Le problème n’est pas là. Le problème vient du fait que configurer un service déjà inclus ne constitue pas un service managé, mais de la maintenance. Et lorsque vos clients peuvent se procurer une MFA de base sans passer par vous, votre valeur en tant que MSP doit venir d’ailleurs : de meilleures stratégies, une couverture plus large, d’autres méthodes, plus de contrôle.
Un MSP gérant 30 clients sur Entra ID avec la MFA native de Microsoft ne dispose pas d’une couche d’authentification indépendante.
Si une politique d’accès conditionnel se comporte de manière inattendue, le MSP doit effectuer le troubleshooting depuis la console Microsoft à l’aide des outils Microsoft.
Si un client souhaite une expérience MFA différente pour un ensemble donné d’utilisateurs, les options sont limitées à celles proposées par Microsoft.
Et si le MSP souhaite appliquer des politiques d’authentification cohérentes à la fois dans des environnements Microsoft et non Microsoft (VPN, endpoints, applications tierces), cela n’est tout simplement pas possible avec une stack d’identité mono-fournisseur.
C’est justement la raison d’être de la MFA externe
Microsoft a introduit la MFA externe (anciennement External Authentication Methods ou EAM) dans Entra ID pour permettre aux fournisseurs de MFA tiers de s’intégrer directement à la plateforme. Le concept est simple : Microsoft reste le fournisseur d’identité et gère le premier facteur, et lorsqu’une MFA est requise, Entra ID redirige l’utilisateur vers le fournisseur externe pour le deuxième facteur. Une fois les vérifications effectuées, l’accès est accordé.
Pour les MSP, cela change la donne. Vous pouvez proposer une expérience de MFA managée qui fonctionne dans les environnements Microsoft et s’étend à tout ce qui se trouve à l’extérieur : VPN, connexion à Windows, macOS, applications tierces. Votre propre ensemble de politiques d’authentification que vous contrôlez, une seule application avec laquelle les utilisateurs de vos clients interagissent, et une plateforme unique que vous administrez pour l’ensemble de vos comptes. La couche d’identité devient un élément de service, et non plus quelque chose que vous configurez au sein de la plateforme de quelqu’un d’autre.
La question est simple : vos clients paieraient-ils pour le service MFA que vous proposez aujourd’hui ou s’agit-il d’une simple case à cocher qu’ils pourraient configurer eux-mêmes ? Dans le second cas, une couche d’authentification indépendante transforme l’identité d’un coût opérationnel en un service à forte valeur ajoutée.
La couche résistante au phishing qui manque à la plupart des PME
Une fois que vous disposez d’une couche d’authentification indépendante, vous pouvez étendre votre offre au-delà de ce qu’un stack d’identité mono-fournisseur permet.
Les méthodes de MFA traditionnelles (notifications push, codes à usage unique) bloquent la majeure partie des attaques. Mais des techniques de phishing avancées, notamment via des attaques par proxy en temps réel, peuvent intercepter à la fois le mot de passe et la validation MFA au moment où elles se produisent. Selon le rapport Verizon 2025 Data Breach Investigations Report, les identifiants volés ont constitué le principal vecteur d’accès initial dans 22 % des violations analysées, et 88 % des attaques contre des applications Web basiques impliquaient des identifiants volés. Ces attaques ne sont pas théoriques ; elles ciblent spécifiquement les personnes les plus importantes, comme les cadres, les équipes financières et toute personne ayant accès à des données sensibles.
Les méthodes d’authentification résistantes au phishing, telles que les passkeys, permettent de répondre à ce risque. Les passkeys utilisent des données biométriques liées au site légitime, de sorte qu’un site frauduleux ne peut tout simplement pas déclencher l’authentification. L’expérience utilisateur est bien connue (empreinte digitale ou visage, comme pour déverrouiller un téléphone) et la protection est nettement plus efficace contre les attaques sophistiquées.
La question concrète pour les MSP n’est pas de savoir s’il faut proposer une authentification résistante au phishing, mais de savoir par où commencer. Les utilisateurs n’ont pas tous besoin du même niveau de protection. Les cadres et les équipes financières ? Absolument. L’ensemble des collaborateurs, dès le premier jour ? Probablement pas. La capacité à déployer les passkeys en complément du MFA traditionnel, en choisissant où appliquer chaque méthode en fonction du niveau de risque, est ce qui rend cette approche réellement adaptée aux environnements réels.
Ce que cela signifie pour votre entreprise
Si vous êtes un MSP qui gère des environnements Microsoft, l’opportunité est évidente. L’identité n’est plus forcément quelque chose que vous devez configurer sur la plateforme de quelqu’un d’autre. C’est quelque chose que vous pouvez vous approprier, contrôler et sur lequel bâtir une activité. Une couche MFA externe vous donne ce contrôle. Les méthodes résistantes au phishing, comme les passkeys, offrent à vos clients une protection qui va au-delà de celle proposée par la MFA de base. En outre, la combinaison des deux vous offre une solution concrète à proposer à tous les clients utilisant Microsoft 365. Et à mesure que les assureurs cyber distinguent de plus en plus le MFA basique des méthodes résistantes au phishing, disposer d’une couche d’authentification indépendante avec prise en charge des passkeys vous permet, ainsi qu’à vos clients, d’anticiper ces exigences plutôt que de devoir les rattraper en urgence.
Les MSP qui l’anticipent dès aujourd’hui seront ceux qui transformeront l’identité d’un coût opérationnel en une véritable source de revenus. Si vous attendez, vous devrez vous battre sur les prix pour quelque chose que vos clients sauront déjà obtenir sans votre aide.
Intégration de la MFA externe aux environnements Microsoft avec AuthPoint
WatchGuard AuthPoint s’intègre à Microsoft Entra ID en tant que fournisseur MFA externe, ce qui permettra à nos partenaires de proposer une expérience d’authentification managée couvrant les environnements Microsoft et tout le reste : connexion VPN, Windows et macOS, applications SAML et OIDC tierces et portail d’authentification unique AuthPoint.
AuthPoint prend en charge les notifications push, les codes d’accès temporaires à usage unique (TOTP), la vérification du QR code, les tokens physiques à mot de passe à usage unique et l’authentification par clé FIDO2. Les stratégies Zero Trust dans WatchGuard Cloud contrôlent les méthodes disponibles pour chaque ressource et chaque groupe d’utilisateurs, donnant aux MSP un contrôle granulaire sur l’expérience d’authentification de leurs clients.
Le modèle de déploiement est conçu pour les MSP. La gestion multi-tenant dans WatchGuard Cloud signifie une console unique pour l’ensemble de vos comptes, avec l’héritage des politiques et l’administration déléguée. Côté utilisateur final, WatchGuard a finalisé au cours de l’année écoulée une refonte complète de l’expérience utilisateur sur l’ensemble des points de contact AuthPoint : un nouvel agent pour Windows, un nouvel agent pour macOS, ainsi qu’une application mobile entièrement repensée avec un mode sombre, une gestion unifiée des tokens et un processus d’activation simplifié. Il en résulte une expérience d’authentification cohérente et moderne qui réduit les frictions liées au déploiement et les appels au support.
La prise en charge des clés d’accès et la MFA externe pour Entra ID sont toutes deux incluses dans les licences AuthPoint MFA et AuthPoint Total Identity Security sans frais supplémentaires. Les partenaires qui travaillent déjà avec AuthPoint n’ont qu’à activer ces fonctionnalités pour les proposer à leurs clients, sans avoir à modifier la licence.
Pour en savoir plus sur la sécurité des identités et apprendre comment sécuriser vos accès contre les menaces basées sur le vol d’identifiants, lisez nos articles de blog :