# Comment exiger le MFA pour un utilisateur ?

L’authentification multifacteur (MFA) ajoute une seconde couche de sécurité au mot de passe d’un utilisateur. Par défaut, chaque utilisateur Stoïk Protect peut activer le MFA sur son propre compte depuis `Paramètres > Paramètres utilisateur > Authentification à deux facteurs`.

Pour des raisons de conformité (ISO 27001, NIS2, exigences de cyberassurance, politiques de sécurité internes), les administrateurs peuvent désormais aller un pas plus loin et **imposer le MFA à des utilisateurs spécifiques**: un utilisateur soumis à cette contrainte doit activer le MFA lors de sa prochaine connexion et ne peut pas s’y soustraire.

#### Identifier les utilisateurs sans 2FA

Avant d’imposer le MFA, vous voulez généralement savoir qui n’est pas encore protégé. La `Paramètres > Utilisateurs` tableau comporte une `2FA` colonne dédiée :

* :white\_check\_mark:: l’utilisateur a activé la 2FA.
* :x:: l’utilisateur n’a pas encore activé la 2FA.

Pour obtenir une liste des utilisateurs à relancer :

1. Accédez à `Paramètres > Utilisateurs`.
2. Ouvrez le `2FA` filtre en haut du tableau.
3. Sélectionnez `Non`.

Vous ne voyez désormais que les utilisateurs sans 2FA. À partir de là, vous pouvez soit les contacter directement pour qu’ils l’activent eux-mêmes, soit ouvrir chaque panneau latéral et cocher `Exiger le MFA` pour l’imposer lors de votre prochaine connexion (voir ci-dessous).

<figure><img src="/files/2eb665fb26ede4e0d9de74470e5b9b83bde4e10b" alt=""><figcaption></figcaption></figure>

#### Qui peut imposer le MFA ?

Seuls les utilisateurs disposant de l’autorisation `Gérer les droits des utilisateurs` peuvent exiger le MFA pour un autre utilisateur. Le `Exiger le MFA` interrupteur est désactivé pour les utilisateurs ne disposant pas de cette autorisation.

#### Comment exiger le MFA pour un utilisateur

<figure><img src="/files/28759642faad0870fcee3bfef2d503220f8aeb5a" alt=""><figcaption></figcaption></figure>

1. Accédez à `Paramètres > Utilisateurs` dans Stoïk Protect.
2. Cliquez sur l’utilisateur sur lequel vous voulez imposer le MFA. Son panneau latéral s’ouvre.
3. Dans la `section Admin` du formulaire des autorisations, cochez **Exiger le MFA**.
4. La modification est enregistrée avec le reste du formulaire des autorisations.

{% hint style="info" %}
Le même flux vous permet aussi de désactiver ultérieurement l’application de cette contrainte en décochant la case. Désactiver l’application ne supprime pas le MFA de l’utilisateur. Le MFA reste activé, et il peut le désactiver lui-même depuis ses paramètres s’il le souhaite.
{% endhint %}

#### Ce que voit l’utilisateur soumis à cette contrainte

La prochaine fois que l’utilisateur se connecte, avant d’accéder au tableau de bord, Stoïk Protect vérifie s’il a déjà activé le MFA. Si oui, rien ne change. Sinon, il est redirigé vers un écran obligatoire de configuration du MFA. Le déroulement est le suivant :

1. **Configurer l’authentification à deux facteurs**: Un écran expliquant que le MFA est exigé par l’administrateur de leur espace de travail, avec une seule méthode disponible (message texte / SMS). Il n’y a pas de `Passer` bouton.
2. **Saisissez votre numéro de téléphone**: L’utilisateur saisit le numéro de téléphone qui recevra les codes de vérification.
3. **Saisissez le code que nous vous avons envoyé**: L’utilisateur saisit le code à 6 chiffres reçu par SMS pour confirmer qu’il est bien propriétaire du numéro de téléphone.
4. **L’authentification à deux facteurs est activée**: Écran de confirmation, puis redirection vers la page que l’utilisateur essayait initialement d’atteindre.

Tant que le MFA n’est pas configuré, l’utilisateur ne peut aller nulle part ailleurs dans Stoïk Protect. Il peut se déconnecter depuis l’en-tête si nécessaire.

#### Qu’est-ce qui change pour un utilisateur soumis à cette contrainte une fois le MFA activé ?

* Il se connecte avec son mot de passe et un code à 6 chiffres envoyé par SMS, à chaque fois.
* Il ne peut pas désactiver le MFA depuis ses propres paramètres utilisateur : le `Désactiver le MFA` bouton est grisé avec une info-bulle expliquant que le MFA est requis par son administrateur.

#### Cas limites

| Situation                                                                 | Comportement                                                                                                                  |
| ------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------- |
| L’utilisateur a déjà activé le MFA lorsque l’interrupteur est activé      | Rien ne se passe à la prochaine connexion. Il ne peut simplement plus désactiver lui-même le MFA.                             |
| Un administrateur active l’interrupteur pour son propre compte            | Autorisé. L’application de la contrainte se déclenche à sa prochaine connexion.                                               |
| L’utilisateur est actuellement connecté lorsque l’interrupteur est activé | Il n’est pas déconnecté. L’application de la contrainte se déclenche à sa prochaine connexion.                                |
| Un nouvel utilisateur est invité alors que l’interrupteur est déjà activé | Juste après avoir créé son mot de passe, il arrive sur l’écran de configuration forcée du MFA.                                |
| L’utilisateur n’a plus accès à son numéro de téléphone                    | Demandez à son administrateur de désactiver temporairement l’interrupteur afin qu’il puisse mettre à jour ses paramètres MFA. |

#### Questions fréquentes

**Un utilisateur peut-il refuser la configuration forcée du MFA ?** Non. L’écran de configuration n’a pas de `Passer` bouton et bloque la navigation vers le reste de Stoïk Protect tant que le MFA n’est pas configuré.

**Quelle méthode MFA est prise en charge ?** Le message texte (SMS) est disponible aujourd’hui. Les applications d’authentification arrivent bientôt.

**L’utilisateur sera-t-il notifié lorsque j’active l’interrupteur ?** Pas par e-mail pour l’instant. Il verra l’écran de configuration forcée du MFA lors de sa prochaine connexion.

**La désactivation de l’interrupteur supprime-t-elle son MFA ?** Non. Son MFA reste activé. Désactiver l’interrupteur ne fait que lui redonner la possibilité de désactiver lui-même le MFA.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.stoik.io/help/help-center-fr/onboarding/how-to-require-mfa-for-a-user.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.