Retour au blog
guideHR Techtechnique

MFA dans les SaaS RH : pourquoi 62 % des éditeurs français n'y sont pas encore

Publié le 2026-06-046 min de lectureCleanIssue

Le constat

Sur les 50 derniers SaaS RH français que nous avons audités, 31 ne proposaient aucune forme de MFA à leurs utilisateurs. Pas de TOTP, pas de WebAuthn, pas même de SMS. Un simple email et mot de passe.

Pour des applications qui stockent des bulletins de paie, des contrats de travail et des numéros de sécurité sociale, c'est un problème.

Pourquoi le MFA tarde

"Nos clients ne le demandent pas"

C'est l'argument le plus fréquent. Et il est en train de changer. Avec NIS2 et les exigences croissantes des grands comptes, le MFA devient un prérequis dans les questionnaires de sécurité. Ne pas le proposer, c'est perdre des contrats.

"C'est compliqué à implémenter"

Avec Supabase Auth, Firebase Auth ou NextAuth, le MFA TOTP se met en place en quelques heures. WebAuthn (clés de sécurité, Face ID, Touch ID) demande un peu plus de travail mais reste accessible.

"Ça dégrade l'expérience utilisateur"

Un argument valable en 2020. En 2026, tout le monde utilise un authenticator sur son téléphone. Et les passkeys rendent l'authentification encore plus fluide qu'un mot de passe classique.

Ce qu'on observe en audit

Quand le MFA n'est pas en place, voici ce qu'on trouve systématiquement :

  • Mots de passe faibles : pas de politique de complexité, pas de vérification contre les listes de mots de passe compromis
  • Pas de protection contre le brute force : pas de rate limiting sur l'endpoint de login, pas de captcha, pas de verrouillage après X tentatives
  • Sessions trop longues : des tokens valides pendant 30 jours sans possibilité de révocation
  • Pas de détection de connexion suspecte : une connexion depuis un nouveau pays ne déclenche aucune alerte

    • Tous ces problèmes sont atténués par le MFA. Même si un attaquant obtient le mot de passe, il lui faut le second facteur.

    Le plan d'action en 3 étapes

    Étape 1 : proposer le TOTP optionnel

    Commencez par proposer l'authentification TOTP (Google Authenticator, Authy) comme option. Encouragez-la sans la forcer. Mesurez le taux d'adoption.

    Étape 2 : rendre le MFA obligatoire pour les admins

    Les comptes administrateurs ont accès à toutes les données. Ils doivent être protégés en priorité. Rendez le MFA obligatoire pour les rôles admin et super-admin.

    Étape 3 : WebAuthn pour tous

    Les passkeys sont l'avenir. Elles sont plus sécurisées que le TOTP (résistantes au phishing) et plus simples pour l'utilisateur. Commencez à les intégrer dès maintenant.

    Recommandation CleanIssue

    Lors de notre Premier diagnostic, la vérification des mécanismes d'authentification est l'un des premiers points analysés. Si votre SaaS RH ne propose pas de MFA, c'est un signal fort pour vos clients que votre posture de sécurité doit être renforcée.

    Pour aller plus loin

    Voir la page HR Tech

    La synthèse CleanIssue pour les logiciels RH, paie et recrutement.

    Découvrir la Revue Externe

    Le format le plus rapide pour clarifier l'exposition réelle d'un produit RH.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    techniqueguide

    Upload de fichiers dans un SIRH : guide de sécurisation pratique

    Les fonctionnalités d'upload de fichiers sont omniprésentes dans les SaaS RH. Elles sont aussi l'un des vecteurs d'attaque les plus sous-estimés.

    2026-06-02 · 8 min de lecture
    guidetechnique

    Zero Trust pour une petite équipe SaaS : par où commencer

    Le Zero Trust n'est pas réservé aux grands groupes. Voici comment une équipe de 5 à 30 personnes peut appliquer les principes du Zero Trust sans infrastructure lourde.

    2026-06-03 · 7 min de lecture
    Supabasetechnique

    Supabase RLS : les 5 erreurs qu'on retrouve dans chaque audit de SaaS RH

    Les Row Level Security policies de Supabase sont puissantes mais trompeuses. Voici les erreurs les plus fréquentes qu'on rencontre lors de nos audits d'applications RH.

    2026-06-06 · 9 min de lecture

    Sources

    Rédigé par CleanIssue
    Revu le 2026-06-04

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit