Passkeys : la fin des mots de passe en entreprise, en pratique

· 4 min de lecture · SOVALYX Technologies

PARTAGER

Le mot de passe repose sur un secret partagé : ce qui se retient se devine, ce qui se tape se vole, ce qui se stocke se pirate. Les passkeys remplacent ce secret par une paire de clés cryptographiques — rien à retenir, rien à taper, rien à rejouer ailleurs — et rendent le phishing d'identifiants largement inopérant. Reste à les déployer sans se piéger.

Le principe, en termes simples

Une passkey est une paire de clés : une clé publique, déposée chez le service, et une clé privée, qui ne quitte jamais votre appareil — téléphone, ordinateur ou clé de sécurité physique. À la connexion, le service envoie un défi ; l'appareil le signe avec la clé privée après un déverrouillage local — empreinte, visage ou code — et le service vérifie la signature avec la clé publique. Aucun secret ne circule, aucun secret n'est stocké côté serveur.

Tout cela s'appuie sur des standards ouverts — FIDO2 et WebAuthn — pris en charge par les navigateurs et les systèmes récents. Concrètement, une passkey peut être liée à un seul appareil (une clé de sécurité physique : exigeante, mais ses droits ne se promènent pas) ou synchronisée entre les appareils d'un même utilisateur via un gestionnaire.

Pourquoi le phishing ne fonctionne plus

Le phishing vit du secret rejouable : une page sosie vous fait taper votre mot de passe, parfois votre code à usage unique, et les rejoue en temps réel sur le vrai site. Les passkeys cassent ce mécanisme à trois endroits. Il n'y a rien à taper, donc rien à soutirer. La passkey est liée au domaine pour lequel elle a été créée : sur un site sosie, elle ne se déclenche tout simplement pas — la vérification est faite par la machine, pas par la vigilance de l'utilisateur. Et la base du service ne contient que des clés publiques : volée, elle ne permet de se connecter nulle part.

C'est la différence de fond avec le MFA classique par codes : un code se relaye en temps réel, une signature liée au domaine ne se relaye pas. Les passkeys ne suppriment pas tous les risques — un appareil compromis reste un appareil compromis — mais elles ferment la voie d'attaque la plus utilisée contre les comptes d'entreprise.

Le plan de déploiement, par paliers

  1. Inventorier : quels services acceptent les passkeys ? Si vos applications passent par un annuaire et un portail d'authentification unique, c'est lui qu'on équipe en premier — l'effet se propage à tout ce qui se trouve derrière.
  2. Commencer par les comptes à privilèges : administrateurs, finance, direction. Population réduite, risque maximal, gain immédiat ; les clés de sécurité physiques y trouvent leur place.
  3. Piloter avec des volontaires : documenter l'enrôlement, mesurer les blocages réels — appareil non compatible, procédure obscure — avant de généraliser.
  4. Généraliser par population, en conservant temporairement mot de passe et MFA classique en solution de repli.
  5. Resserrer : restreindre progressivement les méthodes faibles, jusqu'à les réserver aux procédures de récupération encadrées.

Les pièges à anticiper

Le premier piège est la récupération de compte : quand le mot de passe disparaît, l'attaque se déplace vers l'enrôlement. Un fraudeur qui convainc le support d'enregistrer « sa » nouvelle passkey sur le compte d'un dirigeant contourne toute la cryptographie. Les procédures de récupération doivent donc être aussi solides que l'authentification elle-même : vérification d'identité renforcée, délai imposé, seconde validation pour les comptes sensibles.

Deuxième piège : les appareils partagés — réception, atelier, comptoir. Une passkey synchronisée sur une session personnelle n'y a pas sa place ; on s'oriente vers des clés physiques individuelles que chacun garde sur soi. Troisième : la synchronisation via des comptes personnels. Définissez la politique avant le déploiement — gestionnaire géré par l'entreprise, ou clés matérielles pour les comptes critiques. Enfin, les applications anciennes qui ne supportent rien : gardez-leur un périmètre de repli documenté, et réduisez-le à chaque évolution. Ces choix rejoignent les fondamentaux du socle de sécurité d'une PME et durcissent au passage les accès distants du télétravail sécurisé.

La checklist du déploiement

Comment SOVALYX peut vous aider

SOVALYX accompagne le passage aux passkeys : inventaire des services compatibles, priorisation des comptes à privilèges, procédures de récupération résistantes à l'ingénierie sociale, et supervision des authentifications. Le déploiement avance par paliers mesurés, sans jamais casser l'accès des équipes.

Parler sécurité avec un ingénieur

🧰 L'outil qui va avec : Votre sauvegarde survivrait-elle à un ransomware ? — gratuit · 2 minutes.

Relu et optimisé par IA.