Fonctionnalité 2FA
La fonctionnalité 2FA (authentification à deux facteurs) s’applique à la connexion Back Office (BO).
Un mécanisme de verrouillage de compte protège contre les attaques. Le 2FA ne s'applique pas sur le Front Office (FO).
Un champ de code à usage unique (OTP) est présent sur l’écran de connexion BO (voir photo ci-dessus).
Le 2FA fonctionne exclusivement avec une application d’authentification TOTP (Proton Pass, Google Authenticator, Authy, Microsoft Authenticator, etc.).
Téléchargez l'une de ces applications sur votre téléphone pour activer le 2FA.
Activation et gestion du 2FA
- Accès direct au compte: Un raccourci est disponible depuis le BO vers la fiche utilisateur pour gérer:
- l’e-mail de connexion, le changement de mot de passe
- l’activation/désactivation du 2FA (voir Capture 2)
- Visibilité restreinte: La section 2FA est visible uniquement pour l’utilisateur connecté lorsqu’il consulte son propre compte, et uniquement s’il possède les droits associés à son profil. Ceci pour des raisons de sécurité.
Processus d’activation
- Cliquez sur "Activer l'authentification à deux facteurs"
- Scannez le QR code affiché avec votre application d’authentification ou saisissez le "code d'association" généré pour valider l’activation.
- Copiez les "Codes de récupération", et enregistrez les dans un endroit sécurisé. Ils peuvent être utilisés en cas de perte de moyen utilisé pour obtenir le code à usage unique. Attention, vous êtes responsable de cette action pour retrouver un accès à votre compte.
- Désactivation : Réalisable depuis la même section, en cliquant sur "Désactiver l'authentification à deux facteurs"
- Changement d’appareil ou d'application pour le 2FA : Désactiver puis réactiver le 2FA pour régénérer un QR code sur le nouvel appareil.
Comportement à la connexion
- BO - Back Office :
- Si 2FA activé: e-mail + mot de passe + (Code à usage unique) OTP requis.
- Si 2FA non activé: e-mail + mot de passe uniquement.
- FO - Front Office :
- Pas de vérification 2FA actuellement, même si le 2FA est activé côté BO.
Verrouillage de compte
Prévenir les attaques par brute force sur la connexion au compte utilisateur.
Règles
- Déclenchement : après 20 tentatives de connexion échouées.
- Durée de verrouillage : 1 heure. Le compte se réactive automatiquement à l’issue.
- Notification :
- Un e-mail est envoyé à l’utilisateur lors du verrouillage pour l’informer et lui permettre de débloquer immédiatement son compte via un lien sécurisé.
- Si l’e-mail n’a pas été reçu, il peut être renvoyé sur demande (“Instructions de déverrouillage non reçues ?”).
Bonnes pratiques recommandées
- Recommander l’activation du 2FA pour tous les comptes à privilèges (administrateurs, managers).
- Maintenir une adresse e-mail à jour pour recevoir les alertes de verrouillage.
- Anticiper la réactivation du 2FA lors d’un changement d’appareil.
- Sensibiliser les équipes : ne jamais partager le code OTP ni des captures du QR code
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article