L'authentification multifacteur (MFA), également appelée validation en deux étapes, est une mesure de sécurité importante. En plus de votre mot de passe, l'MFA nécessite une autre preuve d'identité, appelée facteur d'authentification, pour vous connecter à un compte. L'ajout d'un facteur supplémentaire rend beaucoup plus difficile la compromission de votre compte par des pirates informatiques. Même si votre mot de passe est volé, les pirates informatiques ont toujours besoin d'un facteur supplémentaire pour pouvoir accéder à votre compte.
Si vous utilisez un compte Google et que vous avez déjà activé l'authentification multifacteur, aucune autre action n'est requise de votre part. Pour vérifier si l'MFA est activée pour votre compte, ouvrez l'onglet Sécurité de la page des paramètres de votre compte Google. Le paramètre Validation en deux étapes s'affiche dans la section Comment vous connecter à Google.
Si vous utilisez un fournisseur d'identité (IdP) tiers pour gérer l'authentification unique (SSO) dans Google Cloud, vous pouvez utiliser l'authentification MFA) fournie par cet IdP pour répondre aux exigences d'MFA de Google Cloud.
Si vous avez des questions qui ne sont pas abordées dans ce document, contactez Cloud Customer Care.
Délais d'application de lMFA
Le calendrier d'application de l'authentification MFA pour Google Cloud dépend du type de compte, comme indiqué dans le tableau suivant.
| Type de compte | Description | Date de début de l'application |
|---|---|---|
| Comptes Google personnels | Les comptes utilisateur que vous avez créés pour votre propre usage, y compris les comptes Gmail, qui sont utilisés comme principaux dans Google Cloud. | À partir du 12 mai 2025 |
| Comptes Enterprise Cloud Identity (n'utilisant pas l'authentification unique) | Comptes utilisateur avec noms d'utilisateur et mots de passe créés et gérés par votre administrateur Google Workspace dans Cloud Identity. | Pendant ou après le deuxième trimestre 2026 |
| Comptes d'entreprise utilisant l'authentification fédérée | Comptes utilisateur créés et gérés par votre administrateur Google Workspace qui utilisent l'authentification unique Google Workspace, l'authentification unique Cloud Identity ou la fédération des identités des employés. | À partir du 1er septembre 2026 |
| Comptes de revendeur | Comptes utilisateur créés et gérés dans un domaine de revendeur Google Cloud . Les utilisateurs finaux du revendeur ne sont pas concernés. | À partir du 28 avril 2025 |
Si l'authentification MFA n'est pas activée, la console Google Cloud affiche des rappels pour l&#MFA;activer au moins 90 jours avant l'application de l&#MFA. De plus, un e-mail de rappel concernant l'authentification MFA est envoyé au moins 90 jours avant son application obligatoire.
Pour les revendeurs et leurs utilisateurs, la console Google Cloud affiche des rappels pour activer l'authentification MFA au moins 60 jours avant son application, et jusqu'à ce qu'elle soit obligatoire. De même, un rappel par e-mail est envoyé au moins 60 jours avant l'application de l'authentification multifacteur.
Lorsque cette exigence sera appliquée à votre compte, vous devrez activer l'authentification multifacteur pour vous connecter à la console Google Cloud ou à la console Firebase.
Champ d'application de l&#MFA
Lorsque l'authentification multifacteur Google Cloud est appliquée à votre compte, si vous ne l'avez pas activée, vous ne pourrez pas utiliser les interfaces Google Cloudsuivantes :
L'application de l'authentification multifacteurGoogle Cloud n'affecte pas les comptes de service. Seuls les comptes utilisateur sont concernés. Toutefois, si vous utilisez votre compte Google pour emprunter l'identité d'un compte de service et que MFA est appliquée à votre compte, vous devez l&#MFA;activer pour vous connecter à la console Google Cloud .
L'accès aux interfaces et services suivants n'est pas affecté par l'application de l'authentification multifacteur :Google Cloud
Google Workspace, y compris Gmail, Google Drive, Google Sheets et Google Slides. Toutefois, Google Workspace a ses propres exigences concernant MFA. Contactez votre administrateur Google Workspace pour en savoir plus.
YouTube.
Vos applications et charges de travail exécutées sur Google Cloud, y compris les applications sécurisées par Identity-Aware Proxy (IAP), ne sont pas concernées par l'application de l'authentification MFA. Toutefois, vos développeurs ne pourront pas utiliser la consoleGoogle Cloud pour gérer ces applications. En d'autres termes, votre plan de contrôle est concerné par l'application de MFA, mais pas votre plan de données.
Activer l'authentification multifacteur pour les comptes Google
Vous pouvez activer l'authentification MFA, également appelée validation en deux étapes, dans l'onglet Sécurité de la page des paramètres de votre compte Google. Pour obtenir des instructions détaillées, consultez Activer la validation en deux étapes.
Si l'option Validation en deux étapes ne s'affiche pas pour votre compte, il est possible que votre administrateur l'ait désactivée. Contactez votre administrateur pour obtenir de l'aide.
Facteurs supplémentaires pour les comptes Google
Les comptes Google personnels et les comptes d'entreprise qui utilisent Google comme fournisseur d'identité (IdP) peuvent utiliser l'un des facteurs supplémentaires suivants avecGoogle Cloud :
Applications d'authentification : vous pouvez configurer une application d'authentification, telle que Google Authenticator ou Authy, sur votre appareil mobile ou votre ordinateur pour qu'elle serve de deuxième facteur.
Codes de secours : vous pouvez créer des codes de secours et les utiliser comme deuxième facteur. Les codes de secours doivent être stockés de manière sécurisée et ne peuvent être utilisés qu'une seule fois. Cette méthode ne doit donc être utilisée que si vous n'avez aucune autre option. Pour en savoir plus, consultez Se connecter à l'aide de codes de secours.
Invites Google : si vous êtes connecté à votre compte Google sur un autre appareil, vous pouvez recevoir une invite sur cet appareil vous demandant si c'est bien vous qui vous connectez. Vous pouvez confirmer votre identité dans un navigateur, sur une tablette ou sur votre téléphone. Pour en savoir plus, consultez Se connecter avec les invites Google.
Clé de sécurité physique : vous pouvez appuyer sur une clé de sécurité physique pour fournir votre deuxième facteur. Pour en savoir plus, consultez Utiliser une clé de sécurité pour la validation en deux étapes.
Codes par SMS : vous pouvez utiliser un code envoyé à votre numéro de téléphone comme deuxième facteur. Avant de pouvoir utiliser les SMS comme deuxième facteur, votre numéro de téléphone doit être associé à votre compte Google.
Activer l'authentification multifacteur pour les fournisseurs d'identité tiers
Consultez la documentation de votre IdP tiers pour savoir comment activer l'authentification MFA.
Récupérer l'accès à votre compte si un facteur est perdu ou volé
Consultez Résoudre les problèmes courants liés à la validation en deux étapes pour savoir comment récupérer votre compte.
Cloud Identity : repousser la date limite d'application de l'authentification MFA
Les organisations qui utilisent Cloud Identity et qui existaient avant l'obligation d'authentification MFA peuvent activer une extension unique de 90 jours pour cette obligation au niveau de l'organisation dans la console Google Cloud .
Pour ce faire, les comptes principaux disposant du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) doivent suivre les étapes suivantes :
Dans la console Google Cloud , accédez à la page Organisations.
Sélectionner votre organisation.
Dans la notification concernant la validation en deux étapes, cliquez sur Prolonger de 90 jours, puis confirmez la prolongation.
Une fois l'extension expirée, l'authentification MFA est appliquée.
Désactiver l'application de la MFA pour les utilisateurs non privilégiés
Vous pouvez désactiver la MFA pour les utilisateurs non privilégiés au niveau de l'organisation dans la consoleGoogle Cloud .
Les comptes principaux disposant du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) peuvent le faire en procédant comme suit :
Dans la console Google Cloud , accédez à la page Organisations.
Sélectionner votre organisation.
Désélectionnez Exiger la validation en deux étapes.
Une fois qu'une organisation a désactivé l&#MFA, la plupart des comptes n'ont plus besoin d'un autre facteur d'authentification pour utiliser la console Google Cloud . Toutefois, l'MFA doit toujours être activée au niveau du compte pour les types de comptes suivants :
Comptes Gmail utilisés pour Google Cloud.
Utilisateurs privilégiés qui effectuent des actions sensibles.
Actions sensibles et désactivation de l'MFA
Les comptes qui effectuent des actions sensibles (appelés utilisateurs privilégiés) ne peuvent pas désactiver complètement l'authentification MFA, même lorsque le paramètre Exiger la validation en deux étapes est désactivé dans l'organisation. Même si les utilisateurs peuvent toujours effectuer la plupart des tâches dans la console Google Cloud après que leur organisation a désactivé la MFA, ils ne peuvent pas effectuer d'actions sensibles tant que la MFA n'est pas activée pour leur compte. Cela permet d'empêcher les personnes malveillantes de lancer des actions sensibles en raison du vol d'identifiants.
Les actions suivantes Google Cloud sont considérées comme sensibles :
Modifications de l'attribution de la facturation
Modifications des stratégies d'autorisation IAM au niveau de l'organisation, du dossier ou du projet
L'authentification multifacteur pour les actions sensibles est en cours de déploiement dans les comptes Google Cloud . Le déploiement devrait être terminé en 2026.
Réactiver l&MFA
Si vous choisissez de réactiver l&#MFA, un délai de grâce d'au moins 30 jours s'applique avant que l'authentification MFA ne soit obligatoire.