Sujet demandé par Eric le 13 juillet. Angle : la double authentification est devenue un prérequis d'assurance cyber, mais toutes les méthodes ne se valent pas - et le SMS, le plus répandu, est le plus fragile. Cible : dirigeants qui pensent être protégés parce qu'ils ont « activé le 2FA ». Levier : ce n'est plus seulement une bonne pratique, c'est une condition de couverture.
« Toutes les doubles authentifications ne se valent pas · celle que vous utilisez peut vous coûter un remboursement. » On casse la fausse sécurité du « j'ai activé le 2FA » et on relie tout de suite au portefeuille du dirigeant.
Trois niveaux de méthodes (SMS/e-mail faibles, application correcte, clé physique/empreinte = référence), lus à travers le regard de l'assureur. Puis la nuance légale : obligations réelles côté France (bancaire, santé), pas d'obligation légale générale côté Suisse mais un prérequis d'assurabilité de fait.
Question d'auto-évaluation simple et datable, qui ne demande aucune compétence technique. Le 1er commentaire ouvre sur une revue courte (20 min) signée Eric, sans formule de démarchage.
Affirmé (sourcé) : en France, authentification forte exigée pour les accès bancaires/paiement (DSP2) et l'accès aux données de santé (CNIL / PGSSI-S). Les assureurs cyber distinguent les méthodes faibles (SMS, e-mail) des méthodes fortes (clé physique, notification) - impact possible sur la prime.
Volontairement PAS affirmé : aucune obligation légale suisse imposant le MFA secteur par secteur (Eric l'a explicitement signalé comme non confirmé). Le post dit « pas une obligation légale générale, mais un prérequis d'assurance de fait » - formulation prudente. Aucun nom d'assureur ni chiffre inventé.
À revérifier avant publication : si un texte suisse sectoriel récent (ex. FINMA) apparaît, on pourra préciser. Publication prévue après la fin de la série « Anatomie d'une cyberattaque » (10/10).