Passkeys, authentification et sécurité d’entreprise : un changement de paradigme
Les passkeys transforment l’authentification en entreprise en supprimant le mot de passe, pas en ajoutant un facteur de plus. Là où le MFA classique combine mot de passe, SMS et application d’authentificateur, la passkey repose sur une paire de clés cryptographiques liée à chaque appareil utilisateur et à chaque identité. Cette méthode d’authentification basée sur la cryptographie asymétrique change la surface d’attaque et rebat les cartes de la sécurité, en particulier pour les environnements hybrides et multicloud.
Concrètement, la passkey crée une paire de clés de sécurité : une clé publique stockée côté services et une clé privée conservée dans l’appareil de l’utilisateur. Cette clé privée, parfois appelée clef privée ou clé appareil, ne quitte jamais l’appareil et reste protégée par un code PIN, une biométrie (Face ID, Touch ID, Windows Hello) ou un authentificateur matériel compatible FIDO2 comme une YubiKey. L’authentification multifacteur est alors implicite, car l’utilisateur prouve à la fois la possession de l’appareil et le contrôle local de la clé privée.
Les standards FIDO2 et WebAuthn, portés par l’alliance FIDO, structurent cette nouvelle méthode d’authentification basée sur les passkeys synchronisées entre appareils. Les grands écosystèmes Apple et Google, mais aussi Microsoft, intègrent désormais nativement ces passkeys entreprise dans leurs navigateurs, OS et services cloud via iCloud Keychain, Google Password Manager ou Windows Hello for Business. Pour un DSI, cela signifie que la sécurité d’identité peut enfin être résistante au phishing par design, sans dépendre de la vigilance des utilisateurs face à l’ingénierie sociale, comme le décrivent les spécifications officielles FIDO2 et WebAuthn publiées par le W3C et la FIDO Alliance.
Le principal saut qualitatif vient de la résistance au phishing, bien supérieure à celle du MFA par SMS ou e‑mail. Selon les données publiées par l’alliance FIDO dans ses rapports de référence, plus de 80 % des compromissions d’identités restent liées au vol de mots de passe ou de codes à usage unique. Les attaques par ingénierie sociale qui capturent des informations d’identification deviennent inopérantes, car aucune clé privée n’est transmise au serveur. Le phishing reste pourtant le vecteur numéro un de compromission, ce qui rend l’adoption des passkeys authentification entreprise stratégique pour la sécurité globale et la réduction mesurable du risque cyber.
Passkeys vs MFA classique : impacts sur l’expérience utilisateur et la sécurité
Dans un schéma MFA classique, l’utilisateur jongle entre mot de passe, code PIN SMS et application d’authentificateur, ce qui dégrade l’expérience utilisateur et augmente les frictions. Avec les passkeys, l’authentification en entreprise se réduit souvent à un geste biométrique sur l’appareil utilisateur, tout en renforçant la sécurité d’identité. Le gain de productivité est immédiat sur les services critiques, notamment pour les équipes en mobilité ou en télétravail, qui se connectent plusieurs dizaines de fois par jour.
Sur le plan technique, chaque passkey correspond à une paire de clés de sécurité générée localement sur l’appareil, avec une clé privée protégée par le système d’exploitation. Les passkeys synchronisées via les coffres Apple et Google ou via un gestionnaire d’identités d’entreprise permettent d’étendre ce modèle à plusieurs appareils. Les DSI doivent toutefois arbitrer entre confort et souveraineté, en décidant où réside la clé privée et comment encadrer la synchronisation entre appareils professionnels et personnels, notamment dans les scénarios BYOD.
La différence majeure avec le MFA traditionnel tient à la suppression totale du secret partagé, comme le mot de passe ou le code à usage unique. Les informations d’identification ne sont plus stockées en base sous forme de hash, mais remplacées par une clé publique inutilisable en cas de fuite de données. Pour approfondir ces enjeux de sécurité numérique, un responsable IT peut s’appuyer sur des analyses dédiées à la notion de sécurité numérique en environnement hybride, et les relier aux politiques d’authentification sans mot de passe.
En pratique, les passkeys entreprise réduisent fortement les risques liés au phishing ciblé et aux campagnes massives d’ingénierie sociale. Les attaques qui redirigent l’utilisateur vers un faux site pour voler ses informations d’identification deviennent inefficaces, car la clé privée ne s’exporte pas et la vérification du domaine est intégrée au protocole. Cette authentification basée sur FIDO et sur des clés de sécurité matérielles ou logicielles offre une sécurité résistante au phishing, tout en simplifiant les parcours d’accès aux services internes et SaaS et en diminuant le recours aux codes temporaires fragiles.
Feuille de route de déploiement : du pilote à la migration à grande échelle
Pour un DSI d’ETI ou de PME, la question n’est plus de tester les passkeys authentification entreprise, mais de structurer un déploiement maîtrisé. La première étape consiste à lancer un pilote limité sur quelques services critiques, avec un groupe d’utilisateurs volontaires et techniquement à l’aise. Cette phase permet de valider l’intégration avec l’IAM existant, de mesurer l’impact sur l’expérience utilisateur et de documenter les cas de support, par exemple les changements d’appareil ou les erreurs d’enrôlement, en suivant des indicateurs concrets comme le taux de succès de connexion ou le volume de tickets.
La deuxième étape repose sur un mode de coexistence entre mot de passe, MFA classique et passkeys synchronisées, en ciblant les populations les plus exposées au phishing. Les comptes à privilèges, les équipes finance, les fonctions RH et les administrateurs d’infrastructures cloud doivent figurer dans le premier cercle d’adoption des passkeys entreprise. Durant cette phase, il est crucial de définir des politiques claires de gestion de la clé privée, du code PIN local et des scénarios de récupération en cas de perte d’appareil, avec un processus standardisé en quelques étapes incluant la déclaration de l’incident, la révocation de la passkey et le réenrôlement contrôlé.
La migration à grande échelle nécessite ensuite un cadrage plus politique, notamment vis‑à‑vis des partenaires et prestataires qui accèdent aux services internes. Les DSI doivent articuler cette transformation avec les évolutions réglementaires et les exigences de la cybersécurité d’État, analysées par exemple dans le contexte du renforcement des exigences pour les prestataires privés. L’objectif est d’éviter une fragmentation des méthodes d’authentification entre salariés, prestataires et comptes de service, en définissant une politique IAM commune.
Sur le plan opérationnel, la feuille de route doit intégrer la gestion du cycle de vie des appareils et des identités, depuis l’onboarding jusqu’au départ de l’utilisateur. Chaque appareil utilisateur doit être enregistré, associé à une ou plusieurs passkeys et rattaché à une identité d’entreprise dans l’IAM. Sans cette discipline, la promesse de sécurité d’identité et de résistance au phishing se dilue dans la complexité des exceptions et des comptes orphelins. Un checklist minimal inclut l’enrôlement initial, la vérification périodique des appareils, la révocation systématique à la sortie et la revue régulière des comptes techniques, avec des procédures documentées pour le remplacement d’appareil et la réémission de clés.
Cas d’usage B2B, IAM et intégration aux infrastructures existantes
Les passkeys authentification entreprise ne se limitent pas au poste bureautique individuel, car les cas d’usage B2B sont plus complexes. Les postes partagés en atelier, en magasin ou en centre d’appels imposent de gérer plusieurs utilisateurs sur un même appareil, avec des sessions courtes et des changements fréquents. Dans ces contextes, la combinaison d’une clé appareil partagée et de passkeys individuelles stockées sur des clés de sécurité FIDO physiques peut offrir un bon compromis entre sécurité et rapidité de connexion.
Pour les prestataires externes et les comptes de service, la migration vers une méthode d’authentification basée sur FIDO demande une gouvernance plus fine. Les comptes de service non interactifs ne peuvent pas utiliser une authentification multifacteur classique, mais peuvent bénéficier de certificats ou de paires de clés gérées par l’IAM. Les intégrations avec Azure AD, Okta ou Google Workspace permettent déjà d’exposer des services compatibles WebAuthn, tout en centralisant les politiques de sécurité d’identité et les règles d’accès conditionnel.
Les DSI doivent aussi traiter les scénarios d’accès à distance, de BYOD et d’appareils mobiles, où l’écosystème Apple et Google domine largement. Les passkeys synchronisées dans les coffres iCloud ou Google Password Manager simplifient l’expérience utilisateur, mais posent des questions de contrôle d’entreprise sur la clé privée. Pour arbitrer ces enjeux, il est utile de replacer les passkeys dans une stratégie globale de proposition de services numériques sécurisés pour des clients exigeants, en intégrant les exigences de conformité sectorielle.
Sur le terrain, les retours d’expérience montrent que la résistance au changement vient moins des utilisateurs finaux que des équipes projets et sécurité. Les premiers apprécient la simplicité de l’authentification sans mot de passe, tandis que les seconds craignent les cas limites de récupération de compte et de rotation des appareils. La clé est de documenter précisément les processus de remplacement d’appareil, de réémission de passkeys et de révocation de clés de sécurité en cas de suspicion de compromission, avec un flux de validation clair entre support, sécurité et management et des délais cibles mesurés.
ROI sécurité, réduction du phishing et arbitrages économiques pour les DSI
Le passage aux passkeys authentification entreprise doit être défendu devant un COMEX avec des chiffres, pas seulement avec des principes de sécurité. Le phishing représentant l’écrasante majorité des compromissions, une authentification résistante au phishing permet de réduire significativement la probabilité d’incident majeur. Chaque campagne d’ingénierie sociale qui échoue grâce à l’absence de mot de passe ou de code à voler se traduit par un risque évité et donc par un ROI sécurité tangible, mesurable en coûts d’incident évités et en heures de production préservées, comme l’illustrent plusieurs études de cas publiées par la FIDO Alliance sur les déploiements à grande échelle.
Sur le plan financier, les DSI peuvent modéliser le coût annuel des réinitialisations de mots de passe, des tickets de support liés au MFA et des incidents de compromission. L’adoption des passkeys entreprise réduit le volume de ces tickets, tout en diminuant les pertes de productivité liées aux blocages d’accès et aux procédures d’urgence. Les investissements dans les plateformes IAM compatibles FIDO, dans les clés de sécurité matérielles et dans la formation des utilisateurs doivent être mis en regard de ces économies récurrentes, avec un suivi d’indicateurs comme le temps moyen de connexion ou le taux de tickets liés à l’authentification, complété par des retours d’expérience chiffrés issus de pilotes internes.
La vraie ligne de partage ne se situe plus entre sécurité et expérience utilisateur, mais entre complexité héritée et simplicité robuste. Une méthode d’authentification basée sur une paire de clés, avec une clé privée protégée localement et une clé publique stockée côté services, aligne enfin les intérêts de la DSI et des métiers. À terme, les entreprises qui auront industrialisé le déploiement des passkeys synchronisées sur l’ensemble de leurs appareils disposeront d’un avantage compétitif en matière de sécurité d’identité et de continuité d’activité.
Pour les directions générales, l’enjeu dépasse la seule cybersécurité et touche la continuité d’activité, la conformité et la confiance des clients. Une fuite d’informations d’identification ou une compromission par phishing sur un compte à privilèges peut coûter bien plus qu’un projet structuré de migration vers les passkeys. La morale est simple : la passkey n’est pas un gadget de plus dans la pile MFA, c’est un investissement d’infrastructure qui se lit directement sur la ligne des risques du P&L, et qui doit être piloté comme un programme de transformation à part entière, avec des objectifs chiffrés de réduction d’incidents et de gains de productivité.
FAQ sur les passkeys et l’authentification sans mot de passe en entreprise
Les passkeys remplacent elles totalement les mots de passe dans une entreprise ?
Dans la plupart des organisations, les passkeys ne remplacent pas immédiatement tous les mots de passe, car une phase de coexistence est nécessaire. Les DSI commencent généralement par les comptes à privilèges et les services critiques, tout en conservant des méthodes d’authentification classiques pour certains systèmes anciens. À terme, l’objectif est de réduire fortement l’usage des mots de passe, mais certains cas d’usage hérités peuvent rester en mode hybride, avec des politiques IAM qui imposent progressivement l’authentification sans mot de passe.
Comment gérer la perte ou le vol d’un appareil contenant une passkey ?
Lorsqu’un appareil utilisateur est perdu ou volé, la clé privée reste protégée par le code PIN ou la biométrie locale, ce qui limite le risque immédiat. La procédure standard consiste à révoquer les passkeys associées à cet appareil dans l’IAM, puis à réenrôler l’utilisateur sur un nouvel appareil. Les DSI doivent documenter ces scénarios de récupération et prévoir des mécanismes de secours, comme des clés de sécurité matérielles ou des comptes de récupération encadrés, avec un flux de validation en plusieurs étapes pour éviter les abus.
Les passkeys sont elles compatibles avec les solutions IAM existantes comme Azure AD ou Okta ?
Les principales plateformes IAM d’entreprise, comme Azure AD, Okta et Google Workspace, supportent déjà FIDO2 et WebAuthn, ce qui permet d’utiliser des passkeys pour l’authentification. L’intégration se fait généralement via des politiques d’accès conditionnel qui autorisent ou exigent l’usage de clés de sécurité ou de passkeys synchronisées. Les DSI doivent toutefois vérifier la compatibilité des applications métiers et des services tiers avec ces méthodes d’authentification modernes, et planifier les mises à jour nécessaires.
Les passkeys suffisent elles pour se protéger du phishing et de l’ingénierie sociale ?
Les passkeys offrent une authentification résistante au phishing, car la clé privée ne peut pas être transmise à un site malveillant, même en cas de tromperie de l’utilisateur. Elles réduisent donc très fortement l’efficacité des campagnes de phishing qui visent à voler des mots de passe ou des codes temporaires. En revanche, l’ingénierie sociale peut toujours cibler d’autres vecteurs, comme la manipulation des processus internes ou des équipes support, ce qui impose de maintenir des mesures organisationnelles et des contrôles de cohérence.
Quel est l’impact des passkeys sur l’expérience utilisateur au quotidien ?
Pour les utilisateurs finaux, l’authentification par passkey se traduit souvent par un simple geste biométrique ou la saisie d’un code PIN local, sans mémorisation de mot de passe. Cette simplicité réduit les erreurs de connexion, les blocages de compte et les appels au support, tout en accélérant l’accès aux services. Les retours d’expérience montrent que, bien accompagnée, l’adoption des passkeys est généralement perçue comme une amélioration nette de l’expérience utilisateur, y compris par les profils les moins technophiles.