La CNIL contrôle désormais l'authentification multifacteur. Près d'une violation de données sur deux commence par un mot de passe volé. Votre entreprise est-elle conforme ?
Pendant des années, le mot de passe a été la seule barrière entre vos données et les pirates. En 2026, cette époque est révolue.
La réalité est simple : un mot de passe, aussi complexe soit-il, peut être volé en quelques secondes par un email de phishing bien fait. Et avec l'IA générative, ces emails sont devenus indiscernables des vrais.
En mars 2025, la CNIL a publié une recommandation sur l'authentification multifacteur (MFA). Ce n'est pas un simple conseil — c'est une obligation de fait.
Pour une PME calédonienne : si vos employés accèdent à des outils métier depuis l'extérieur (email, ERP, CRM, cloud), vous êtes probablement concerné.
À partir de 2026, lors de ses contrôles, la CNIL vérifiera si les organismes concernés ont mis en place l'authentification multifacteur. L'absence de MFA pourra être considérée comme un manquement à l'obligation de sécurité (article 32 du RGPD).
Traduction en clair : ne pas avoir de MFA sur vos accès sensibles, c'est risquer une amende CNIL en plus d'un piratage.
[Lien interne suggéré : rgpd-nouvelle-caledonie]
La MFA exige au moins deux preuves d'identité parmi trois catégories :
|---------|-------------|----------|