Pour moi, j'insiste, il ne faut pas une seule solution imposée, mais plusieurs.
Tout à fait, et le TOTP de l'IETF (RFC 6238) serait un bon point de départ, c'est simple, bien documenté, et gratuit si l'on a un smartphone.
Un 2FA devrait être
imposé au niveau de France Connect (une fois le login validé sur un service), ceux qui ne peuvent pas utiliser de 2FA peuvent toujours utiliser l'authentification service par service, mais au moins il n'y aurait pas de propagation d'une brèche à tous les autres services, c'est assez irresponsable en l'état.