Imposer l'authentification à deux facteurs (2FA)

Comment obliger tous les membres du compte à utiliser l'authentification à deux facteurs et renforcer considérablement la sécurité de votre compte.

L'authentification à deux facteurs est l'un des moyens les plus efficaces de protéger les comptes contre les accès non autorisés. Par défaut, la 2FA est facultative chez seven, c'est-à-dire que chaque utilisateur décide s'il souhaite l'activer pour son propre compte. En tant que propriétaire ou administrateur, vous pouvez toutefois rendre la 2FA obligatoire pour tous les membres de votre compte, afin de vous assurer que personne ne puisse accéder à votre compte avec un simple mot de passe.

Pourquoi imposer la 2FA ?

Un mot de passe volé ou deviné ne suffit pas à lui seul pour s'introduire dans un compte protégé par la 2FA. Même si des identifiants sont divulgués via du phishing, des fuites de données tierces ou la réutilisation de mots de passe faibles, le compte reste protégé tant que l'attaquant ne contrôle pas également le deuxième appareil de l'utilisateur.

Scénarios typiques dans lesquels la 2FA obligatoire est particulièrement utile :

  • Équipes comptant plusieurs membres, où il est difficile de suivre individuellement qui a activé la 2FA
  • Comptes contenant des données sensibles, telles que des listes de contacts étendues, des entrées de journal ou un accès API
  • Entreprises soumises à des exigences de conformité, où l'authentification multi-facteurs est imposée par des politiques internes, ISO 27001, des mesures de protection liées au RGPD ou des normes similaires
  • Comptes avec des administrateurs et des développeurs qui ont accès aux clés API ou aux fonctions liées à la facturation
  • Après un incident de sécurité, pour s'assurer que l'accès restauré est protégé de manière fiable

En bref : considérer la 2FA comme une simple recommandation signifie s'en remettre à chaque utilisateur pour qu'il la configure réellement. L'obligation supprime cette incertitude de l'équation.

Où trouver ce paramètre

Dans votre compte, allez dans Paramètres → Sécurité et faites défiler jusqu'à la section « Imposer l'authentification à deux facteurs ».

Activer l'obligation 2FA

Activez le commutateur « Activez cette option pour imposer la 2FA à tous les membres du compte ». Vous pouvez ensuite choisir un délai de grâce sous « Imposer la 2FA après : » qui détermine à partir de quand l'obligation prend effet :

  • Immédiatement
  • 1 jour
  • 2 jours
  • 3 jours
  • 7 jours
  • 14 jours

Le délai de grâce laisse à tous les membres le temps de configurer correctement la 2FA, d'installer une application d'authentification et de conserver leurs codes de secours en toute sécurité. Une fois la période expirée, la connexion sans 2FA activée ne sera plus possible.

Quel délai de grâce choisir ?

  • Immédiatement est un bon choix si tous les membres utilisent déjà la 2FA et que vous souhaitez simplement formaliser l'obligation, ou en réponse immédiate à un incident de sécurité.
  • 1 à 3 jours est un compromis raisonnable pour les petites équipes qui souhaitent passer rapidement à la 2FA.
  • 7 ou 14 jours convient bien aux grandes équipes où il faut tenir compte des membres moins actifs ou des absences pour vacances.

Quel que soit le délai choisi, nous vous recommandons d'informer brièvement votre équipe avant l'activation afin que personne ne soit surpris par l'obligation.

Que se passe-t-il à la fin du délai de grâce ?

Une fois le délai de grâce choisi écoulé, l'obligation prend pleinement effet :

  • Les membres avec la 2FA activée se connectent comme d'habitude.
  • Les membres sans 2FA activée peuvent toujours se connecter avec leur nom d'utilisateur et leur mot de passe, mais seront immédiatement invités à configurer la 2FA avant de pouvoir continuer à utiliser le compte. Une connexion normale sans 2FA configurée n'est plus possible.

Notification des membres

Tous les membres qui n'ont pas encore activé la 2FA au moment de l'activation recevront automatiquement une notification par e-mail, les invitant à activer la 2FA avant la fin du délai de grâce. De cette façon, les administrateurs n'ont pas besoin de communiquer le changement manuellement.

Un guide de configuration étape par étape est disponible dans l'article Authentification à deux facteurs (2FA).

Désactiver l'obligation

Vous pouvez désactiver à nouveau l'obligation 2FA à tout moment en repositionnant le commutateur sur la même page. Les configurations 2FA existantes des différents membres restent inchangées et devraient être désactivées individuellement dans le profil respectif si nécessaire.

Si vous avez d'autres questions, n'hésitez pas à contacter notre équipe de support.

Cela a-t-il répondu à votre question ?