MFA en PME Sénégal 2026 : la base non-négociable
Sur 100 incidents PME Sénégal 2024-2025 que j'ai vus passer : 78 % auraient été évités par MFA généralisée. Phishing du DAF qui livre mot de passe Gmail → exfiltration Drive en 4 minutes. Sans MFA.
MFA = Multi-Factor Authentication. Deuxième facteur en plus du mot de passe (quelque chose que vous savez + quelque chose que vous avez ou êtes). Coût : généralement gratuit ou 1-6 EUR / user / mois selon outil.
ROI : empêche 99,9 % attaques credential-based (Microsoft 2024). Mesure n°1 cybersécurité pour PME.
H2 : Les 3 types de MFA (du moins au plus sécurisé)
1. SMS / Email OTP
- Code à 6 chiffres envoyé par SMS ou email.
- Avantages : zéro app à installer.
- Inconvénients : SIM swapping (criminel récupère votre numéro), interception SMS, email compromis = MFA cassée.
- Verdict : À éviter pour comptes critiques. Acceptable fallback grand public uniquement.
2. TOTP (Time-based One-Time Password) — RFC 6238
- App génère code 6 chiffres / 30 secondes (basé secret partagé).
- Apps : Google Authenticator, Microsoft Authenticator, Authy, 2FAS, 1Password / Bitwarden (intégré).
- Avantages : offline, gratuit, standard ouvert.
- Inconvénients : phishable (utilisateur peut taper code sur faux site), perte téléphone = recovery.
3. Push / FIDO2 / Passkey
- Push notification : Duo, Microsoft Authenticator (notification "Approuver ?" sur téléphone).
- FIDO2 / WebAuthn : YubiKey, Apple Touch ID, Windows Hello. Clé crypto stockée matériel, impossible à phisher.
- Passkey : standard 2024+, synchronisé iCloud / Google. Remplace mot de passe.
- Verdict : À privilégier pour comptes admin, dev, finance.
H2 : Comparatif outils MFA 2026
Google Authenticator
- Prix : gratuit.
- Type : TOTP uniquement.
- Plus : ultra-simple, sync cloud Google (depuis 2023). Marche partout (Gmail, Workspace, Facebook, GitHub).
- Moins : pas de push, pas de gestion centralisée admin.
- Pour : individus, TPE < 10 employés.
Microsoft Authenticator
- Prix : gratuit (intégré Microsoft 365).
- Type : TOTP + Push + number matching (anti-fatigue) + Passkey.
- Plus : gestion centralisée via Entra ID, conditional access, number matching obligatoire 2023+.
- Moins : meilleur dans écosystème Microsoft 365.
- Pour : PME sur Microsoft 365 / Entra ID.
Duo Security (Cisco)
- Prix : Duo Essentials 3 EUR/user/mois, MFA 6 EUR/user/mois, Premier 9 EUR/user/mois.
- Type : Push + TOTP + FIDO2 + SMS fallback.
- Plus : conditional access très puissant (par device, IP, géolocalisation), reporting top niveau, intégration VPN/SSH/RDP/AnyConnect.
- Moins : prix.
- Pour : PME 25+ employés, banques, secteurs régulés.
Authy (Twilio)
- Prix : gratuit individuel, payant business.
- Type : TOTP + sync multi-device.
- Plus : meilleur sync cross-device historique.
- Moins : Twilio a annoncé fin app desktop en 2024.
- Pour : à reconsidérer en 2026.
1Password / Bitwarden intégré
- Prix : inclus dans plan (cf article password manager).
- Type : TOTP intégré au vault.
- Plus : 1 seule app pour mot de passe + 2FA.
- Moins : si vault compromis = mot de passe + 2FA perdus. Pour comptes critiques, séparer.
- Pour : usage quotidien comptes non-critiques.
H2 : Conditional Access (la vraie puissance)
Au-delà du "MFA activé / pas activé", configurer politiques contextuelles :
- MFA obligatoire si IP externe au Sénégal (login depuis Russie = MFA + alerte SOC).
- MFA non requise si device "compliant" (laptop entreprise managé Intune/Jamf + à jour).
- Bloquer si pays risqué (Corée du Nord, certaines régions selon contexte).
- Forcer ré-authentification toutes 8h pour admins.
- MFA + FIDO2 obligatoire pour accès données patient (clinique), données financières (banque).
Outils : Microsoft Entra Conditional Access (inclus Entra ID P1, ~5,4 EUR/user/mois), Google Workspace Context-Aware Access (Enterprise), Okta Adaptive MFA, Duo Beyond.
H2 : Les pièges à éviter
1. MFA fatigue attack
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Attaquant déclenche 50 push notifs/heure. Utilisateur frustré clique "Approuver" pour arrêter. Solution : number matching (utilisateur doit taper un nombre affiché sur l'écran login) — Microsoft Authenticator, Duo l'ont depuis 2023.
2. Recovery codes mal gérés
Recovery codes (10 codes single-use) stockés dans... le vault password manager activé par MFA. Cercle vicieux. Solution : recovery codes imprimés et coffre fort physique.
3. Exclusions trop larges
"On exclut le PDG du MFA, c'est compliqué pour lui." Le PDG est cible n°1 (whaling). Solution : MFA obligatoire pour TOUS, surtout PDG/DAF.
4. Pas de plan perte téléphone
Employé perd iPhone. Plus de TOTP. Reset complet = 2h IT. Solution : recovery codes + 2ème device enregistré + clé FIDO2 backup.
5. SMS comme seul fallback
Voir section 1. SMS bypassable via SIM swap (techniquement faisable au Sénégal). Préférer recovery codes ou clé FIDO2.
H2 : Roadmap déploiement MFA 30 jours PME 20 employés
- J1-3 : sélection outil (recommandation : si Microsoft 365 → Microsoft Authenticator + Entra Conditional Access P1 ; sinon → Duo Essentials).
- J4-7 : pilote IT + management (4-6 personnes). Test workflows, recovery.
- J8-15 : rollout vague 1 (admins, devs, finance). Communication + formation 30 min/groupe.
- J16-25 : rollout vague 2 (commercial, RH, opérations).
- J26-30 : audit (qui n'a pas activé ?), forcer activation, conditional access actif.
H2 : Coûts PME 20 utilisateurs (annuel)
| Solution | Coût annuel | Inclus |
|---|---|---|
| Google Authenticator (TOTP) | 0 EUR | basique TOTP, pas d'admin |
| Microsoft 365 BP + Authenticator | inclus | TOTP + Push + number matching |
| Entra ID P1 (conditional access) | 1 296 EUR (~850 KFCFA) | conditional access avancé |
| Duo Essentials 20 users | 720 EUR (~472 KFCFA) | Push + TOTP + reporting |
| Duo MFA 20 users | 1 440 EUR (~944 KFCFA) | + FIDO2, intégrations |
| YubiKey 5 NFC ×20 (one-shot) | ~1 100 EUR (~720 KFCFA) | hardware, dure 5+ ans |
Reco PME Sénégal 20 personnes pas Microsoft 365 : Duo Essentials 720 EUR/an = 60 EUR/mois = ~40 KFCFA/mois. Imbattable.
FAQ
TOTP ou Push ? Lequel choisir ?
Push (Microsoft Auth, Duo) : UX meilleure, anti-phishing via number matching. TOTP : standard universel, marche offline, gratuit. PME : commencer TOTP partout puis migrer Push pour admins/finance.
FIDO2 / YubiKey vaut le coût ?
Pour comptes admin / devs / finance / direction : oui. ~30-55 EUR / clé, dure 5-10 ans. Impossible à phisher (validation domaine cryptographique). Pour reste de l'entreprise : TOTP suffit.
MFA ralentit les utilisateurs ?
TOTP : +5 secondes login. Push : +3 secondes. FIDO2 : +1 seconde (touch). Acceptable si appliqué intelligemment (pas toutes les 30 min, plutôt par session 8h ou device trust).
Quels comptes MFA en priorité ?
- Tous les comptes admin (cloud, AD, GitHub). 2. Comptes finance/banque. 3. Boîte email du PDG/DAF (whaling cible). 4. Tous les SaaS critiques (CRM, Drive, Slack). 5. Reste de l'entreprise. Objectif 100 % en 30 jours.
MFA contournable ?
Push fatigue + ingénierie sociale = oui (cas Uber 2022). FIDO2/Passkey : non, cryptographiquement résistant au phishing. Pour comptes vraiment critiques : FIDO2 obligatoire.
Discutons de votre cas
Si vous voulez déployer MFA dans votre PME au Sénégal en 30 jours, nous pouvons piloter le projet et former les équipes. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.