Passkeys : la fin des mots de passe en entreprise, en pratique

Le mot de passe repose sur un secret partagé : ce qui se retient se devine, ce qui se tape se vole, ce qui se stocke se pirate. Les passkeys remplacent ce secret par une paire de clés cryptographiques — rien à retenir, rien à taper, rien à rejouer ailleurs — et rendent le phishing d'identifiants largement inopérant. Reste à les déployer sans se piéger.
Le principe, en termes simples
Une passkey est une paire de clés : une clé publique, déposée chez le service, et une clé privée, qui ne quitte jamais votre appareil — téléphone, ordinateur ou clé de sécurité physique. À la connexion, le service envoie un défi ; l'appareil le signe avec la clé privée après un déverrouillage local — empreinte, visage ou code — et le service vérifie la signature avec la clé publique. Aucun secret ne circule, aucun secret n'est stocké côté serveur.
Tout cela s'appuie sur des standards ouverts — FIDO2 et WebAuthn — pris en charge par les navigateurs et les systèmes récents. Concrètement, une passkey peut être liée à un seul appareil (une clé de sécurité physique : exigeante, mais ses droits ne se promènent pas) ou synchronisée entre les appareils d'un même utilisateur via un gestionnaire.
Pourquoi le phishing ne fonctionne plus
Le phishing vit du secret rejouable : une page sosie vous fait taper votre mot de passe, parfois votre code à usage unique, et les rejoue en temps réel sur le vrai site. Les passkeys cassent ce mécanisme à trois endroits. Il n'y a rien à taper, donc rien à soutirer. La passkey est liée au domaine pour lequel elle a été créée : sur un site sosie, elle ne se déclenche tout simplement pas — la vérification est faite par la machine, pas par la vigilance de l'utilisateur. Et la base du service ne contient que des clés publiques : volée, elle ne permet de se connecter nulle part.
C'est la différence de fond avec le MFA classique par codes : un code se relaye en temps réel, une signature liée au domaine ne se relaye pas. Les passkeys ne suppriment pas tous les risques — un appareil compromis reste un appareil compromis — mais elles ferment la voie d'attaque la plus utilisée contre les comptes d'entreprise.
Le plan de déploiement, par paliers
- Inventorier : quels services acceptent les passkeys ? Si vos applications passent par un annuaire et un portail d'authentification unique, c'est lui qu'on équipe en premier — l'effet se propage à tout ce qui se trouve derrière.
- Commencer par les comptes à privilèges : administrateurs, finance, direction. Population réduite, risque maximal, gain immédiat ; les clés de sécurité physiques y trouvent leur place.
- Piloter avec des volontaires : documenter l'enrôlement, mesurer les blocages réels — appareil non compatible, procédure obscure — avant de généraliser.
- Généraliser par population, en conservant temporairement mot de passe et MFA classique en solution de repli.
- Resserrer : restreindre progressivement les méthodes faibles, jusqu'à les réserver aux procédures de récupération encadrées.
Les pièges à anticiper
Le premier piège est la récupération de compte : quand le mot de passe disparaît, l'attaque se déplace vers l'enrôlement. Un fraudeur qui convainc le support d'enregistrer « sa » nouvelle passkey sur le compte d'un dirigeant contourne toute la cryptographie. Les procédures de récupération doivent donc être aussi solides que l'authentification elle-même : vérification d'identité renforcée, délai imposé, seconde validation pour les comptes sensibles.
Deuxième piège : les appareils partagés — réception, atelier, comptoir. Une passkey synchronisée sur une session personnelle n'y a pas sa place ; on s'oriente vers des clés physiques individuelles que chacun garde sur soi. Troisième : la synchronisation via des comptes personnels. Définissez la politique avant le déploiement — gestionnaire géré par l'entreprise, ou clés matérielles pour les comptes critiques. Enfin, les applications anciennes qui ne supportent rien : gardez-leur un périmètre de repli documenté, et réduisez-le à chaque évolution. Ces choix rejoignent les fondamentaux du socle de sécurité d'une PME et durcissent au passage les accès distants du télétravail sécurisé.
La checklist du déploiement
- Inventorier les services compatibles et équiper le portail d'authentification unique en priorité.
- Équiper d'abord les comptes à privilèges, avec clés physiques pour les plus sensibles.
- Écrire la procédure de récupération avant le premier enrôlement — et la tester contre un scénario d'ingénierie sociale.
- Trancher la question de la synchronisation : gestionnaire d'entreprise ou clés matérielles.
- Traiter les postes partagés avec des clés individuelles, jamais des sessions communes.
- Documenter l'enrôlement pas à pas, avec un référent joignable.
- Conserver un repli temporaire, puis le restreindre selon un calendrier annoncé.
- Suivre l'adoption et les authentifications par méthode — un accompagnement extérieur aide à séquencer sans casser les accès.
Comment SOVALYX peut vous aider
SOVALYX accompagne le passage aux passkeys : inventaire des services compatibles, priorisation des comptes à privilèges, procédures de récupération résistantes à l'ingénierie sociale, et supervision des authentifications. Le déploiement avance par paliers mesurés, sans jamais casser l'accès des équipes.
Parler sécurité avec un ingénieur🧰 L'outil qui va avec : Votre sauvegarde survivrait-elle à un ransomware ? — gratuit · 2 minutes.
Relu et optimisé par IA.