• 1 mai 2026
• Groupe Hurter & Co
• Général

Passkeys en entreprise : réduire le phishing sans compliquer l’accès

En 2025-2026, la question n’est plus de savoir si les passkeys vont s’imposer en entreprise, mais comment les déployer sans dégrader l’expérience d’accès. Entre la hausse continue des attaques de phishing, l’automatisation des campagnes par l’IA et la fatigue liée aux mots de passe, les organisations cherchent une réponse qui combine sécurité, simplicité et maîtrise opérationnelle.

Les signaux du marché convergent clairement. Le FIDO Alliance constate que la majorité des entreprises interrogées ont déjà déployé ou sont en cours de déploiement de passkeys pour les accès employés, tandis que Microsoft, AWS et Cisco Duo les positionnent désormais comme une brique de l’authentification forte et résistante au phishing. Le sujet n’est plus expérimental : il devient un standard d’architecture identitaire.

Pourquoi les passkeys changent la donne face au phishing

Le principal atout des passkeys tient à leur modèle cryptographique. Contrairement aux mots de passe, aux SMS ou aux codes envoyés par e-mail, elles reposent sur une paire de clés publique/privée liée à l’origine du service. Cela signifie qu’un attaquant ne peut pas simplement réutiliser un identifiant volé sur un faux site pour s’authentifier ailleurs.

Microsoft insiste précisément sur ce point : les passkeys remplacent les méthodes “phishable” par conception. On ne parle pas d’un renforcement marginal, mais d’un changement de paradigme. Le vérificateur n’est plus un secret humainement réutilisable, mais un mécanisme cryptographique difficile à détourner, ce qui réduit fortement la surface d’attaque liée à l’usurpation d’identité.

Cette résistance au phishing est d’autant plus importante que les campagnes offensives gagnent en volume et en qualité. Microsoft Security évoquait 7 000 attaques par mot de passe par seconde en 2024, en hausse marquée par rapport à 2023. Dans ce contexte, maintenir des flux de connexion basés sur des secrets partagés devient un risque structurel, pas seulement un problème d’hygiène.

Passkeys et expérience utilisateur : moins de friction, plus de vitesse

Le succès des passkeys en entreprise ne repose pas uniquement sur la sécurité. Leur adoption progresse aussi parce qu’elles simplifient réellement l’accès. En supprimant le mot de passe, en réduisant les prompts et en s’appuyant sur des gestes connus comme la biométrie ou le PIN, elles fluidifient l’authentification au lieu de la complexifier.

Microsoft met en avant des gains de temps concrets. Pour les comptes Microsoft grand public, une connexion par mot de passe prendrait jusqu’à 24 secondes en moyenne, contre environ 8 secondes avec une passkey et 3 secondes avec une passkey synchronisée. Même si les chiffres varient selon les contextes, la tendance est claire : l’expérience est plus rapide et plus prévisible.

En entreprise, cet effet est crucial car l’authentification se répète des dizaines de fois par jour. Une méthode plus rapide réduit la friction, mais aussi les abandons, les tickets support et les contournements dangereux. Une sécurité qui ralentit trop les équipes finit souvent contournée ; une passkey bien intégrée a l’avantage de faire l’inverse.

Passkeys en entreprise : le bon niveau de MFA sans alourdir le parcours

Dans Microsoft Entra ID, les passkeys sont mises en avant comme une forme d’authentification résistante au phishing pouvant servir de MFA lorsqu’elles sont combinées à la biométrie ou au PIN. C’est un point important : la passkey ne remplace pas seulement un mot de passe, elle peut aussi s’inscrire dans une stratégie d’authentification forte plus cohérente.

L’intérêt opérationnel est double. D’un côté, on réduit la dépendance aux facteurs “phishable” comme les OTP par SMS ou e-mail. De l’autre, on conserve un parcours utilisateur rapide, sans empilement de validations inutiles. Pour les équipes sécurité, cela permet d’aligner l’authentification sur une logique Zero Trust plus moderne, avec moins de credentials non gérés.

Cette approche est d’autant plus pertinente que les entreprises ne veulent pas seulement “ajouter un facteur”, mais réduire le risque global de compromission. Le discours 2025-2026 de Microsoft est très explicite : les passkeys ne sont pas un confort supplémentaire, elles deviennent une brique de durcissement de l’identité, en particulier dans les programmes de sécurité comme Secure Future Initiative.

Déployer sans bloquer : synchronisées ou device-bound ?

Un des premiers arbitrages techniques concerne le type de passkey. Les passkeys synchronisées facilitent l’usage multi-appareils et réduisent les frictions d’adoption, car l’utilisateur retrouve plus facilement ses accès d’un terminal à l’autre. Elles sont donc souvent un bon choix pour accélérer le déploiement à grande échelle.

En revanche, si le niveau de contrôle sur la frontière de l’appareil est une exigence forte, Microsoft recommande les passkeys device-bound. Dans ce modèle, la clé reste liée au terminal, ce qui renforce le contrôle des environnements sensibles. Le choix dépend donc moins d’une préférence théorique que du niveau de gouvernance attendu sur les postes et les usages.

Dans la pratique, beaucoup d’organisations adoptent une stratégie progressive. Les populations les plus exposées aux données sensibles ou aux applications critiques sont traitées en priorité, puis le périmètre s’élargit. Cette logique permet de concilier sécurité et expérience sans imposer un standard unique à des profils d’utilisateurs très différents.

Ce que disent les déploiements réels sur le terrain

Le FIDO Alliance observe que les entreprises ayant déjà déployé des passkeys rapportent des bénéfices mesurables sur l’expérience utilisateur, la sécurité, la réduction des coûts, la productivité et la transformation digitale. Autrement dit, les gains ne sont pas uniquement théoriques : ils apparaissent dans les usages quotidiens et dans les indicateurs de support.

Le FIDO Passkey Index 2025 va dans le même sens. L’index, alimenté par des données de grands services comme Amazon, Google, Microsoft, PayPal, Target ou TikTok, indique notamment un taux de succès de connexion de 93% pour les passkeys. Ce type de signal est important, car il montre que la technologie fonctionne à l’échelle, pas seulement dans des pilotes contrôlés.

Autre marqueur de maturité : le FIDO Alliance indique qu’en 2025, les passkeys étaient déjà prises en charge par 48% des 100 premiers sites mondiaux. Le marché ne se contente plus d’expérimenter ; il structure progressivement un nouvel usage par défaut autour d’une authentification plus sûre et plus fluide.

Les freins sont surtout organisationnels, pas technologiques

Malgré cette dynamique, les organisations qui n’ont pas encore lancé de projet actif citent surtout la complexité, les coûts et le manque de clarté sur la mise en œuvre. C’est un signal très classique lors des transitions d’identité : la difficulté n’est pas tant la technologie elle-même que la coordination entre sécurité, IT, support, RH et expérience utilisateur.

La bonne nouvelle, c’est que ces freins se lèvent souvent avec une feuille de route claire. Un déploiement de passkeys réussi repose généralement sur trois piliers : un périmètre initial bien choisi, une documentation simple pour les utilisateurs et des procédures de support adaptées. Le FIDO Alliance souligne d’ailleurs l’importance de la communication et de la formation pour accélérer l’adoption.

Les entreprises les plus avancées commencent souvent par les populations qui ont accès aux applications sensibles. Ce choix réduit le risque le plus élevé en premier, tout en créant des ambassadeurs internes qui facilitent l’extension à d’autres équipes. En pratique, la conduite du changement pèse autant que le paramétrage technique.

Exploitation, gouvernance et cycle de vie : la vraie maturité

Une fois les passkeys déployées, le travail ne s’arrête pas. Microsoft recommande de suivre leur usage via les journaux et les notifications, car il n’existe pas encore d’expiration automatique des passkeys. Cela implique une hygiène de cycle de vie et une supervision régulière, comme pour toute brique d’identité critique.

Cette exigence de pilotage est importante pour les équipes sécurité et IAM. Il faut pouvoir détecter les anomalies, gérer les renouvellements de poste, accompagner les changements d’appareil et traiter les cas de perte ou de remplacement. La passkey simplifie l’accès, mais elle ne supprime pas le besoin d’administration ; elle le déplace vers un contrôle plus propre et plus exploitable.

Le marché se structure d’ailleurs autour de ce besoin, avec des solutions de gestion d’Enterprise Passkey Management et des événements 2025 centrés sur le déploiement à grande échelle. Cela confirme que le sujet est passé du stade de l’innovation d’authentification à celui de l’exploitation industrielle.

Pour une entreprise, le bon objectif n’est pas de “faire de la passkey” pour suivre une tendance. L’enjeu est de réduire le phishing sans compliquer l’accès, tout en améliorant la productivité et en préparant une architecture identité plus résiliente. C’est précisément là que les passkeys prennent leur valeur stratégique.

En 2025-2026, le cap est clair : passer d’un modèle centré sur des secrets réutilisables à un modèle phishing-resistant by default. Les passkeys ne résolvent pas tout, mais elles apportent une réponse rare en cybersécurité : plus de sécurité, moins de friction, et un meilleur alignement entre les besoins des utilisateurs et les exigences des équipes techniques.