BRIEFING SÉCURITÉ · 09.07.2026 DEENFRES

Pratique & Mise en œuvre

Passkeys en entreprise : La fin du mot de passe

Par Alec Chizhik · 7 juillet 2026 · 7 min de lecture

Le mot de passe est le point faible que tout le monde connaît et dont presque personne ne se débarrasse. Les passkeys s’apprêtent à le remplacer en liant l’authentification à un appareil et à un facteur biométrique. Pour les entreprises, le déploiement n’est pas tant une question technique qu’une question de mise en œuvre. La technologie est mature, la question est celle d’une mise en œuvre propre.

L’essentiel en bref

  • Plus de secret partagé : Les passkeys utilisent une paire de clés. La partie privée ne quitte jamais l’appareil, il n’existe aucun mot de passe à intercepter.
  • Le phishing tombe à l’eau : Parce que la clé est liée au domaine authentique, les pages d’authentification falsifiées ne fonctionnent pas.
  • La récupération est le point critique : Ce qui se passe en cas de perte d’appareil détermine le succès du déploiement.

Pourquoi les passkeys supplantent le mot de passe

Qu’est-ce qu’un passkey ? Un passkey est une méthode d’authentification cryptographique qui remplace un mot de passe par une paire de clés. La clé privée reste en sécurité sur l’appareil de l’utilisateur, la clé publique est conservée par le service. L’authentification est confirmée localement par biométrie ou code PIN de l’appareil.

Définition · Passkey

Une méthode d’authentification cryptographique qui remplace un mot de passe par une paire de clés. La clé privée reste sur l’appareil de l’utilisateur, la clé publique est conservée par le service. L’authentification est confirmée localement par biométrie ou code PIN de l’appareil.

Le gain de sécurité découle de la disparition du secret partagé. Un mot de passe peut être deviné, intercepté ou volé dans une base de données. Un passkey n’a pas cette valeur sur le serveur, car seul le côté public y réside, dont un attaquant ne peut rien tirer. Même une intrusion réussie dans la base de données utilisateurs ne fournit aucune donnée d’authentification exploitable.

La protection anti-phishing intégrée

Le plus grand avantage réside peut-être dans la liaison au domaine. Un passkey pour le site d’entreprise réel ne peut pas être utilisé sur une page de phishing reconstituée, car le procédé vérifie le correspondant. Ainsi, la forme d’attaque la plus courante sur les identifiants perd son fondement.

Pour les responsables sécurité, c’est un argument de poids. De nombreux incidents commencent par des identifiants obtenus par phishing. C’est précisément cette chaîne qui se brise lorsqu’il n’existe plus de secret susceptible d’être intercepté. La protection agit sans que les collaborateurs aient besoin d’être formés à la détection du phishing. Elle est intégrée au procédé, et non à la vigilance de chacun. C’est une différence fondamentale avec les seconds facteurs classiques comme les codes à usage unique, qui restent interceptables.

Où le déploiement bute

La vérité : la partie la plus difficile n’est pas la connexion, mais la récupération. Lorsqu’un appareil est perdu, il faut un chemin sécurisé pour réintégrer le compte, sans que celui-ci ne devienne la nouvelle vulnérabilité. Un recours au mot de passe ancien comme échappatoire annulerait le bénéfice, car l’attaquant n’aurait alors qu’à emprunter cette voie.

Dans l’entreprise, s’ajoutent la gestion des appareils et les plateformes hétérogènes. Les utilisateurs travaillent sur des PC Windows, des Mac, des smartphones de différents constructeurs. Les passkeys doivent rester utilisables sur ces appareils sans compromettre la sécurité. C’est ici que se joue le succès du déploiement au quotidien ou son échec face à des obstacles pratiques.

Comment le déploiement réussit étape par étape

Un plan de déploiement propre ne commence pas par la désactivation du mot de passe, mais par la construction de la récupération. On définit d’abord comment un utilisateur retrouve un accès sécurisé à son compte après la perte d’un appareil, par exemple via un deuxième appareil enregistré ou un processus contrôlé par le support IT avec une vérification d’identité stricte. Ce n’est que lorsque ce chemin est solide que le reste suit.

Plan de déploiement par étapes

  • Définir le processus de récupération (deuxième appareil ou support IT vérifié)
  • Proposer les passkeys d’abord en complément de la méthode existante
  • Les utilisateurs s’habituent à la connexion, l’IT acquiert de l’expérience avec les appareils
  • Enfin, désactiver le mot de passe pour les comptes sécurisés

Ensuite, les passkeys sont d’abord proposés en complément, parallèlement à la méthode existante. Les utilisateurs enregistrent leur passkey et s’habituent à la nouvelle authentification, tandis que l’IT accumule de l’expérience avec ses propres appareils. Dans la dernière étape, le mot de passe est désactivé pour les comptes sécurisés. Cette approche progressive est plus sûre qu’un basculement abrupt, car elle permet de tester la récupération critique avant qu’elle ne soit indispensable en situation réelle.

Ce que les passkeys signifient pour la conformité

Les passkeys ne sont pas seulement un gain de confort, ils répondent directement aux exigences réglementaires. Des cadres comme NIS2 exigent des mesures efficaces contre les accès non autorisés. Une méthode d’authentification résistante au phishing remplit exactement ce rôle. Celui qui élimine techniquement la cause la plus fréquente d’intrusion peut le démontrer à une autorité de contrôle.

Pour la direction générale, c’est un argument qui dépasse le cadre de l’IT. Une seule attaque de phishing réussie peut déclencher un incident onéreux. Une authentification qui neutralise le phishing au niveau du procédé réduit ce risque de façon mesurable et renforce simultanément la traçabilité vis-à-vis des auditeurs et des assureurs.

Questions fréquentes

Chaque question est fermée. Un appui déverrouille la réponse.

Qu’est-ce qui distingue un passkey d’un mot de passe ?

Un mot de passe est un secret partagé qui peut être transmis et volé. Un passkey utilise une paire de clés dont la partie privée ne quitte jamais l’appareil. Seul le côté public, sans valeur, réside sur le serveur.

Un passkey protège-t-il vraiment contre le phishing ?

Oui. Le passkey est lié au domaine réel et ne fonctionne pas sur les pages falsifiées. Ainsi, la voie la plus courante pour intercepter des identifiants perd toute efficacité.

Que se passe-t-il si l’appareil est perdu ?

Il faut pour cela un chemin de récupération défini au préalable, par exemple un deuxième appareil enregistré ou une méthode de sauvegarde sécurisée. Ce chemin constitue la partie la plus critique du déploiement.

Tous les mots de passe doivent-ils disparaître immédiatement ?

Non. Un plan de déploiement échelonné, qui propose d’abord les passkeys en complément, est plus pratique qu’un changement brutal, surtout dans des environnements multiplateformes.

Les passkeys conviennent-ils aussi aux entreprises disposant de nombreux appareils ?

Oui, mais ils requièrent une gestion des appareils bien pensée et des règles de récupération claires. Avec ces conditions, ils peuvent être déployés même dans de grands environnements.

Les choix de la rédaction

À lireMFA adaptative : levier NIS2 zéro-trust PMEÀ lireQuand un appel stoppe la production automobile

Plus du réseau MBF Media

MyBusinessFutureLa surveillance de l’IA en Allemagne a maintenant une adresse

Pour aller plus loin

Un magazine d'Evernine Media GmbH