Sécuriser une équipe créative avec Conditional Access sans tuer la productivité

Une équipe créative a un rapport particulier à la sécurité IT. Les contraintes mal calibrées (re-authentification toutes les heures, MFA pour ouvrir un Slack, blocage des fichiers personnels sur le poste pro) génèrent une friction qui finit par produire du shadow IT — l’utilisateur contourne, et c’est précisément la situation que la sécurité voulait éviter. À l’inverse, ne rien faire expose des fichiers de marque, des contrats clients, des éléments confidentiels à un risque mal maîtrisé. La bonne posture est ailleurs : durcir là où c’est utile, fluidifier là où c’est possible. Voici comment nous structurons Conditional Access (Entra ID) pour ces équipes.

Le principe de Conditional Access

Conditional Access (CA) est le moteur de règles d’Entra ID qui décide, pour chaque tentative de connexion à une application, ce qu’il faut exiger en plus du mot de passe. Trois variables d’entrée : qui (utilisateur, groupe, rôle), depuis quoi (état de l’appareil, localisation, risque détecté), pour faire quoi (l’app demandée, le niveau de risque associé). Sortie : autoriser, exiger MFA, exiger la conformité de l’appareil, bloquer.

Bien fait, c’est invisible la plupart du temps et ferme là où il faut.

La règle qui devrait toujours être active

Trois politiques baseline minimales, avant même de réfléchir aux nuances :

1. MFA obligatoire pour tous les administrateurs, sans exception, avec au moins une méthode résistante au phishing (passkey FIDO2 ou Authenticator avec verrouillage biométrique).
2. Blocage des protocoles legacy (POP3, IMAP, SMTP basic auth) — ce sont les vecteurs principaux d’attaques par bourrage d’identifiants.
3. MFA obligatoire pour tout le monde sur les connexions à risque (signal de risque utilisateur ou de connexion remonté par Microsoft Identity Protection).

Ces trois règles couvrent 90% des risques d’identité. Elles devraient exister chez toute organisation depuis longtemps.

Le calibrage pour une équipe créative

Au-delà du baseline, on adapte. L’erreur est d’appliquer la même politique à tous : un designer qui passe sa journée dans Figma, Adobe et Slack n’a pas le même profil de risque qu’un comptable qui manipule des virements ou qu’un dirigeant qui ouvre des fichiers M&A.

Sur l’équipe créative parisienne du cas d’usage en intro (un studio d’environ 30 personnes), nous avons appliqué :

• Pour tous les utilisateurs : MFA via Authenticator avec verrouillage biométrique, session de 90 jours sur les appareils gérés par MDM, blocage des connexions depuis des pays inattendus (sauf liste blanche pour les voyages déclarés).
• Pour les administrateurs (3 personnes) : passkey FIDO2 obligatoire, session de 12 heures, accès aux fonctions admin uniquement depuis un appareil conforme MDM avec EDR actif (pas depuis un téléphone personnel).
• Pour les apps sensibles (finance, RH, signataire de contrats) : MFA réauthentifiée par session, accès limité aux appareils conformes, refus depuis le réseau Wi-Fi invité.
• Pour les apps quotidiennes (Slack, Teams, Adobe, Figma) : SSO sans friction depuis appareil conforme, MFA seulement si signal de risque détecté.

La conformité de l’appareil, le levier central

Pour que Conditional Access soit utile, il faut que la condition « appareil conforme » ait du sens. Cela suppose un MDM qui rapporte la conformité à Entra ID : Intune le fait nativement, Kandji et Jamf le font via des connecteurs « device compliance » officiels Microsoft (disponibles depuis 2023 sur Kandji, depuis longtemps sur Jamf).

Critères typiques de conformité : OS à jour (macOS dans une fenêtre de 14 jours, iOS dans 7 jours), chiffrement actif, mot de passe ou TouchID/FaceID actif, EDR actif et à jour, pas de jailbreak/root détecté.

Une fois ce flux en place, on peut écrire des règles CA du type « accès au CRM uniquement depuis un appareil compliant » avec confiance — un Mac personnel non géré ne passera pas, un Mac géré et conforme passera sans friction.

Les passkeys, la vraie nouveauté de 2024-2025

Les passkeys (basées sur WebAuthn / FIDO2) sont le déploiement de sécurité le plus impactant de ces deux dernières années. Côté utilisateur : un facteur déverrouillé par TouchID/FaceID, sans rien à taper, ultra-rapide. Côté sécurité : résistant au phishing par construction (la passkey ne peut pas être saisie sur un site malveillant qui imite votre IdP).

Microsoft, Google, Apple, GitHub, 1Password, Slack supportent tous les passkeys depuis 2023. Notre standard 2026 sur les nouveaux déploiements : passkey par défaut sur les comptes admin, passkey proposée à tous les utilisateurs avec migration progressive. Le mot de passe + SMS code reste un fallback.

L’investissement à prévoir

Conditional Access est inclus dans Entra ID P1, et Entra ID P2 ajoute Identity Protection avec détection de risque automatique et investigations avancées. Sur une PME de 30 personnes, l’investissement reste très contenu en licences, plus l’effort initial de mise en place (typiquement 1 à 3 semaines selon la complexité).

Comparé au coût d’un seul incident d’identité réussi (déclenchement d’un ransomware, fraude au virement, fuite client), l’investissement est marginal.

Ce qu’on évite

Quelques anti-patterns courants :

• MFA partout, tout le temps : génère de la fatigue d’authentification et des comportements de contournement.
• Whitelist d’IP statiques : illusion de sécurité, ignore le télétravail et les voyages.
• Bloquer les apps mobiles sans alternative : pousse l’utilisateur à mailer ses documents pour les ouvrir sur son perso.
• Conditional Access sans monitoring : si personne ne regarde les logs CA, vous découvrez les problèmes après l’incident.

Si vous voulez une politique d’identité qui protège sans étouffer, le formulaire en bas de la home est fait pour engager la conversation.