Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce qu'une passkey ? Fondamentaux de l'authentification moderne
Cybersecurity 101/Sécurité de l'identité/Passkey

Qu'est-ce qu'une passkey ? Fondamentaux de l'authentification moderne

Les passkeys utilisent des paires de clés cryptographiques pour remplacer les mots de passe, éliminant ainsi le phishing et le vol d'identifiants. Découvrez leur fonctionnement et les meilleures pratiques de déploiement.

CS-101_Identity.svg
Sommaire
Qu'est-ce qu'une passkey ?
Relation des passkeys avec la cybersécurité
Passkeys vs. mots de passe
Composants clés des passkeys
Fonctionnement des passkeys
Principaux avantages des passkeys
Support des plateformes et adoption des passkeys dans l'industrie
Défis et limites des passkeys
Erreurs courantes lors de l'implémentation des passkeys
Bonnes pratiques pour les passkeys
Points clés à retenir

Articles similaires

  • Qu'est-ce que l'injection LDAP ? Fonctionnement et méthodes de prévention
  • Qu'est-ce que l'authentification défaillante ? Causes, impact et prévention
  • Qu'est-ce que le contournement de l'authentification ? Techniques et exemples
  • Passkey vs. Security Key : différences et comment choisir
Auteur: SentinelOne | Réviseur: Jeremy Goldstein
Mis à jour: April 9, 2026

Qu'est-ce qu'une passkey ?

Un attaquant hameçonne le mot de passe d'un employé, contourne l'authentification à deux facteurs par SMS et se déplace latéralement dans votre réseau. Selon le rapport Verizon DBIR, 88 % des compromissions dans les schémas d'attaque basés sur les identifiants impliquaient des identifiants volés, tandis que le phishing était utilisé dans 57 % des incidents d'ingénierie sociale.

Les passkeys éliminent entièrement ce vecteur d'attaque. Elles utilisent une authentification cryptographique sans mot de passe où les clés privées ne quittent jamais les appareils des utilisateurs, rendant le vol d'identifiants pratiquement impossible.

Une passkey repose sur la cryptographie à clé publique. Votre appareil génère une paire de clés unique : la clé privée reste sur votre appareil dans un stockage protégé matériellement comme un module TPM ou Secure Enclave, et la clé publique est transmise au fournisseur de service. Lors de l'authentification, le service envoie un défi que votre appareil signe avec la clé privée. Aucun mot de passe ne transite sur le réseau. Cela élimine le phishing, le credential stuffing et la réutilisation de mots de passe, car les clés privées ne quittent jamais les appareils et aucun secret réutilisable n'est transmis.

Les passkeys implémentent la norme FIDO2 (WebAuthn + CTAP), garantissant une sécurité cohérente sur les plateformes, navigateurs et services. Les passkeys liées à l'appareil stockent les clés privées dans des modules de sécurité matériels pour le plus haut niveau d'assurance. Les passkeys synchronisées chiffrent et synchronisent les clés dans les écosystèmes de plateformes pour une accessibilité élargie.

Comprendre en quoi les passkeys diffèrent des mots de passe qu'elles remplacent permet de mesurer l'amélioration de la sécurité.

What is a Passkey - Featured Image | SentinelOne

Relation des passkeys avec la cybersécurité

Les passkeys stoppent le phishing au niveau cryptographique. Lorsque des attaquants lancent des campagnes de phishing contre vos utilisateurs, la liaison d'origine via le protocole WebAuthn empêche l'authentification sur des domaines usurpés. Même si un utilisateur clique sur un lien de phishing et tente de se connecter, l'identifiant ne peut pas compléter le flux d'authentification car la liaison cryptographique au domaine légitime le bloque.

Les clés privées stockées dans des modules de sécurité matériels ne peuvent pas être extraites via des attaques logicielles. Les violations de bases de données ne peuvent pas exposer d'identifiants réutilisables, et le credential stuffing échoue car les passkeys sont uniques par service.

Des incidents réels montrent pourquoi cela est important. En septembre 2023, MGM Resorts a subi une attaque d'ingénierie sociale où des attaquants se sont fait passer pour un employé auprès du support informatique, obtenant des identifiants qui ont conduit au déploiement d'un  ransomware ayant coûté environ  100 millions de dollars de pertes. En 2022, un important fournisseur d'identité a subi un vol d'identifiants via un sous-traitant compromis, affectant des centaines de clients.

Les comptes protégés par passkey éliminent le vol d'identifiants comme méthode d'accès initial, supprimant le vecteur d'attaque à l'origine de la majorité de ces compromissions. La robustesse de cette protection repose sur un ensemble précis de composants techniques fonctionnant ensemble.

Passkeys vs. mots de passe

Les mots de passe sont des secrets partagés. Vous les créez, les transmettez à un serveur, et le serveur en stocke une copie hachée. Chaque étape de cette chaîne est attaquable : les utilisateurs choisissent des mots de passe faibles, les réutilisent sur plusieurs services, et se font piéger par des pages de phishing qui les collectent en temps réel. Même les bases de données de mots de passe hachés peuvent être compromises et craquées hors ligne.

Les passkeys fonctionnent différemment à tous les niveaux. Votre appareil génère une paire de clés cryptographiques, et la clé privée ne quitte jamais l'appareil. Le serveur ne stocke que la clé publique, inutile pour un attaquant sans la moitié privée correspondante. L'authentification se fait via un défi signé, donc rien de réutilisable ne transite sur le réseau.

Les différences pratiques sont significatives. Les mots de passe exigent des utilisateurs qu'ils mémorisent des chaînes complexes et les changent périodiquement, ce qui crée des frictions menant à la réutilisation et à des choix faibles. Les passkeys nécessitent seulement une authentification biométrique ou un code PIN pour déverrouiller l'appareil, sans mémorisation. Les réinitialisations de mots de passe représentent  20 à 50 % des appels au support IT dans les entreprises ; les passkeys éliminent totalement cette catégorie.

D'un point de vue sécurité, les mots de passe restent vulnérables au phishing, aux attaques par force brute, au credential stuffing et aux violations de bases de données. Les passkeys résistent à ces quatre menaces :

  • Phishing — La liaison de domaine empêche l'utilisation des identifiants sur des sites usurpés
  • Force brute et credential stuffing — Aucun mot de passe à deviner ou rejouer
  • Violations de bases de données — Les serveurs ne stockent que des clés publiques, inutiles sans la moitié privée
  • Réutilisation d'identifiants — L'unicité par service signifie que la compromission d'un compte ne permet pas d'en déverrouiller d'autres

Là où les mots de passe fournissent un seul facteur d'authentification (ce que vous savez), les passkeys en combinent deux : ce que vous avez (l'appareil stockant la clé privée) et ce que vous êtes (vérification biométrique), offrant une authentification multifacteur intégrée en une seule étape.

Ces différences se traduisent directement par des résultats de sécurité mesurables lorsque les passkeys sont confrontées à des scénarios d'attaque réels.

Composants clés des passkeys

L'authentification par passkey repose sur cinq composants techniques qui créent une authentification résistante au phishing :

  • Paires de clés cryptographiques comme fondation. Chaque passkey se compose d'une clé publique et d'une clé privée mathématiquement liées. La clé publique réside sur le serveur du fournisseur de service ; la clé privée reste sur l'appareil de l'utilisateur dans un stockage protégé matériellement.
  • Authentificateurs qui génèrent et stockent les passkeys. Les authentificateurs de plateforme sont intégrés aux appareils via TPM, Secure Enclave ou Trusted Execution Environment (TEE), gardant les clés privées liées à un matériel spécifique. Les authentificateurs itinérants incluent les clés de sécurité USB et les jetons Bluetooth. Les deux implémentent les spécifications CTAP et WebAuthn pour la liaison de domaine, la résistance au phishing et la preuve cryptographique de possession.
  • API WebAuthn permettant aux applications web et navigateurs d'interagir avec les authentificateurs. Ce standard W3C définit comment l'enregistrement et l'authentification s'exécutent, assurant une implémentation cohérente sur toutes les plateformes.
  • Relying party désigne le service mettant en œuvre l'authentification par passkey, générant les défis, validant les réponses et maintenant le registre des clés publiques.
  • Vérification de l'utilisateur qui confirme que l'utilisateur légitime contrôle l'authentificateur via une authentification biométrique, un code PIN ou un schéma. La vérification s'effectue localement ; les données biométriques ne quittent jamais l'appareil.

Ces composants fonctionnent ensemble à travers deux processus principaux : l'enregistrement et l'authentification.

Fonctionnement des passkeys

Les deux processus reposent sur un mécanisme de défi-réponse cryptographique qui élimine toute transmission d'identifiants.

Processus d'enregistrement

Lors de l'enregistrement, le relying party envoie les exigences au navigateur de l'utilisateur, qui invoque WebAuthn. L'authentificateur génère une paire de clés unique liée à ce domaine. Cette liaison d'origine empêche la réutilisation des identifiants et le phishing.

La clé privée est stockée en mémoire protégée matériellement. Dans les implémentations liées à l'appareil, cela signifie des modules de sécurité matériels, TPM, Secure Enclave ou puces de clé de sécurité. Dans les implémentations synchronisées, cela signifie un stockage cloud chiffré sans possibilité d'exportation. L'authentificateur retourne la clé publique et les métadonnées d'identifiant au relying party. L'enregistrement se termine en quelques secondes, offrant une expérience de connexion sans mot de passe sans création de mot de passe.

Processus d'authentification

Lorsqu'un utilisateur s'authentifie, le relying party génère un défi aléatoire et l'envoie avec l'identifiant d'identifiant. Après vérification de l'utilisateur via une authentification biométrique, la saisie d'un code PIN ou le déverrouillage de l'appareil, l'authentificateur signe le défi avec la clé privée.

Le défi signé est renvoyé au relying party pour validation. Si la signature correspond, l'authentification est validée. Les défis expirent en quelques minutes et ne peuvent pas être rejoués.

Scénarios d'authentification multi-appareils

Les passkeys synchronisées chiffrent les clés privées dans des trousseaux cloud (iCloud Keychain ou Google Password Manager) pour un accès multi-appareils au sein du même écosystème. Elles offrent un accès pratique mais un support d'attestation limité, ce qui signifie que les organisations ne peuvent pas toujours vérifier cryptographiquement le matériel de sécurité exact utilisé. Les passkeys liées à l'appareil nécessitent l'authentificateur physique pour chaque connexion, offrant une assurance supérieure grâce à des capacités d'attestation complètes permettant aux organisations de vérifier le modèle exact de clé de sécurité ou de module de sécurité matériel impliqué.

Pour les entreprises, le choix entre identifiants synchronisés et liés à l'appareil dépend de la tolérance au risque. Les environnements à haute sécurité tels que les comptes administrateurs privilégiés bénéficient des implémentations liées à l'appareil, tandis que les options synchronisées conviennent à l'authentification du personnel général où la commodité favorise l'adoption.

Une fois la mécanique comprise, la question suivante est de savoir ce que les passkeys apportent à votre organisation.

Principaux avantages des passkeys

Les passkeys offrent quatre catégories d'amélioration mesurable par rapport à l'authentification basée sur les mots de passe, couvrant la sécurité, les opérations et la conformité.

  1. Résistance au phishing par la cryptographie : L'authentification basée sur les mots de passe avec codes SMS reste vulnérable au phishing en temps réel où les attaquants relaient les requêtes via des sites usurpés. Les passkeys éliminent ce risque grâce à la liaison de domaine. L'API WebAuthn vérifie le domaine de destination avant l'authentification, ce qui fait échouer le processus si les domaines ne correspondent pas. Les codes SMS, notifications push et TOTP restent vulnérables aux attaques de type man-in-the-middle, au SIM swapping et à la fatigue des notifications push. Les identifiants cryptographiques n'y sont pas exposés.
  2. Prévention du vol d'identifiants : Vos clés privées ne quittent jamais les appareils des utilisateurs. Les violations de serveurs ne peuvent pas exposer d'identifiants réutilisables car seuls les clés publiques sont stockées. Les malwares de type infostealer ne peuvent pas extraire les clés des modules de sécurité matériels, même avec un accès au noyau. Les passkeys répondent aux  techniques de collecte d'identifiants les plus utilisées par les attaquants.
  3. Gains d'efficacité opérationnelle : Le déploiement des passkeys réduit les demandes de réinitialisation de mots de passe car les utilisateurs ne peuvent pas oublier des identifiants cryptographiques. L'implémentation FIDO du USDA, par exemple, a permis à environ 40 000 utilisateurs d'adopter l'authentification sans mot de passe, supprimant toute une catégorie de tickets au support. Les plateformes de sécurité d'identité comme Singularity Identity de SentinelOne complètent la prévention par passkey avec une réponse autonome aux menaces ciblant l'infrastructure d'authentification.
  4. Alignement conformité et niveau d'assurance : Les passkeys sont conformes aux exigences NIST SP 800-63 AAL3 pour l'authentification multifacteur résistante au phishing. La CISA désigne les passkeys FIDO/WebAuthn comme  référence pour la MFA car elles fournissent des identifiants liés au domaine qui ne peuvent pas être utilisés sur des sites usurpés. Comme mentionné précédemment, la grande majorité des compromissions basées sur les identifiants impliquent des identifiants volés, une catégorie que les passkeys éliminent totalement.

La cryptographie à clé publique offre également des propriétés de sécurité auditables que les politiques de mot de passe ne peuvent égaler : preuve cryptographique d'authentification spécifique au domaine, absence totale de secrets partagés sur le réseau, et génération de clés ancrée matériellement. Ces propriétés fournissent des preuves vérifiables lors des audits et simplifient la documentation de conformité pour des cadres tels que SOC 2, HIPAA et PCI DSS.

Ces avantages en matière de sécurité et d'opérations ont accéléré l'adoption sur les plateformes et dans les secteurs.

Support des plateformes et adoption des passkeys dans l'industrie

Apple, Google et  Microsoft prennent tous en charge nativement les passkeys dans leurs systèmes d'exploitation et navigateurs, offrant aux organisations une couverture multiplateforme pour la plupart des environnements d'appareils d'entreprise :

  • Apple intègre les passkeys via iCloud Keychain sur iOS, iPadOS et macOS
  • Google les prend en charge via Google Password Manager sur Android et Chrome
  • Microsoft permet l'authentification par passkey via Windows Hello et Entra ID

Au-delà des fournisseurs de plateformes, de grands services grand public et d'entreprise ont adopté la connexion par passkey. Amazon, PayPal, GitHub, Shopify et eBay prennent en charge les passkeys pour l'authentification client. Le Passkey Directory de la FIDO Alliance suit l'adoption croissante dans la banque, la santé et le secteur public. Selon la FIDO Alliance, 53 % des personnes ont activé les passkeys sur au moins un compte.

Pour les équipes de sécurité d'entreprise, cette tendance signifie que l'authentification sans mot de passe n'est plus une considération future. Les fournisseurs d'identité tels que Microsoft Entra ID, Okta et Ping Identity proposent une intégration native FIDO2/WebAuthn, rendant le déploiement organisationnel possible dès aujourd'hui.

L'augmentation du support des plateformes n'élimine cependant pas la complexité du déploiement.

Défis et limites des passkeys

Le déploiement des passkeys en entreprise fait face à quatre principaux obstacles nécessitant planification et investissement.

  1. Contraintes d'intégration des systèmes hérités : Les applications héritées qui ne peuvent pas s'intégrer aux services d'authentification modernes représentent le principal obstacle au déploiement. De nombreuses organisations s'appuient sur des systèmes hybrides combinant mots de passe et identifiants cryptographiques en raison de ces contraintes, créant une complexité opérationnelle où plusieurs composants d'infrastructure d'authentification doivent être maintenus simultanément. Les applications mainframe, les systèmes de contrôle industriel et les appareils embarqués manquent souvent des ressources nécessaires pour implémenter les protocoles WebAuthn. Vous devez décider de maintenir des îlots d'authentification par mot de passe, d'investir dans des passerelles d'authentification ou d'accepter que certains systèmes resteront hors du périmètre des passkeys. Anticiper ces lacunes évite les angles morts de sécurité lors du déploiement.
  2. Incohérences d'implémentation multiplateforme : Les implémentations varient selon les plateformes et navigateurs malgré la standardisation WebAuthn. Les passkeys synchronisées ne fonctionnent que dans un même écosystème de plateforme : les clés privées synchronisées via iCloud Keychain ne sont pas accessibles depuis des appareils Android utilisant Google Password Manager, et inversement. Ces incohérences créent des flux d'authentification imprévisibles qui compliquent le déploiement en entreprise.
  3. Complexité de la récupération de compte : La perte d'appareil ou une panne matérielle crée des scénarios de verrouillage nécessitant des mécanismes de récupération robustes. Les utilisateurs craignent souvent de perdre l'accès, ce qui devient un frein psychologique à l'adoption. Les organisations qui négligent la récupération voient un volume plus élevé de tickets de support et des taux d'adoption plus faibles, d'où la nécessité de concevoir la récupération comme une priorité dès la planification.
  4. Gestion du changement organisationnel : Les utilisateurs peuvent résister à des flux d'authentification inconnus, surtout sans comprendre les bénéfices en matière de sécurité. Le personnel de support doit être formé au dépannage, aux procédures de récupération et aux comportements spécifiques à chaque plateforme avant le déploiement. Une collaboration transversale entre UX, développement et produit permet de lever plus efficacement les freins à l'adoption que de traiter les passkeys comme une simple initiative technique.

Connaître ces défis vous aide à éviter les erreurs de déploiement les plus courantes.

Erreurs courantes lors de l'implémentation des passkeys

Même les déploiements de passkeys bien planifiés peuvent échouer si les équipes négligent l'expérience utilisateur, la gestion des erreurs et la sécurité des solutions de secours. Ces quatre erreurs sont les plus fréquentes.

  • Omettre la sensibilisation des utilisateurs avant le déploiement : Annoncer le déploiement sans répondre aux préoccupations des utilisateurs conduit à la confusion et à la résistance. Les utilisateurs sont confrontés à des invites d'authentification inconnues sans contexte, et beaucoup demandent par défaut une réinitialisation de mot de passe ou contactent le support. La sensibilisation doit expliquer les scénarios de perte d'appareil et les procédures de récupération dès le départ, avec des workflows spécifiques pour iOS, Android et Windows.
  • Utiliser des messages d'erreur génériques : Les flux d'authentification affichant "Une erreur s'est produite" au lieu d'indications exploitables sapent la confiance des utilisateurs. Des messages spécifiques comme "Cet identifiant appartient à un autre compte" ou "La politique de votre appareil nécessite une mise à jour" orientent les utilisateurs vers la résolution et maintiennent la confiance lors des échecs.
  • Tests de récupération insuffisants : Déployer des passkeys sans tester en profondeur les procédures de récupération expose vos utilisateurs au risque de verrouillage. Les utilisateurs perdent des appareils sans prévenir, les authentificateurs de secours peuvent dysfonctionner, et la synchronisation cloud peut connaître des pannes. Testez les procédures de récupération sur des scénarios réels avec des instructions détaillées et des guides visuels.
  • Maintenir une authentification de secours non sécurisée : Les implémentations qui retombent sur des méthodes faibles à facteur unique (email ou SMS OTP seul) conservent la vulnérabilité aux mêmes attaques que les passkeys sont censées empêcher. Concevez les solutions de secours avec des exigences multifacteur, et rendez les workflows de récupération volontairement moins pratiques que l'authentification principale pour décourager leur usage courant tout en préservant l'accès d'urgence.

Suivre les bonnes pratiques éprouvées vous aide à éviter ces pièges et à bâtir un déploiement résilient.

Bonnes pratiques pour les passkeys

Les déploiements réussis en entreprise partagent des schémas communs concernant la séquence de déploiement, la cible utilisateur, la conception de la récupération et l'intégration aux plateformes.

Mettre en œuvre une stratégie de déploiement progressif

Déployez par étapes progressives. Commencez par établir une base d'authentification multifacteur avec des applications d'authentification, afin de renforcer les capacités organisationnelles avant d'introduire les passkeys. Ensuite, introduisez les passkeys avec une MFA résistante au phishing pour les applications sensibles tout en maintenant le mot de passe en solution de secours pendant la transition.

À mesure que l'adoption progresse, formalisez les processus de cycle de vie et de récupération :

  • Déverrouillage à distance des appareils et émission d'identifiants
  • Procédures de révocation avec traçabilité complète pour la conformité
  • Gestion centralisée des identifiants dans l'organisation
  • L'authentification par mot de passe réservée uniquement aux situations d'urgence

Chaque étape doit inclure des critères de réussite clairs avant de passer à la suivante.

Cibler d'abord les groupes d'utilisateurs à haut risque

Déployez auprès des utilisateurs privilégiés, administrateurs IT et dirigeants en priorité. Ces cibles de grande valeur sont les plus exposées au vol d'identifiants, le  Verizon DBIR montrant que 57 % des incidents d'ingénierie sociale impliquent le phishing et que le phishing est utilisé comme méthode d'accès initiale dans 16 % de toutes les compromissions. Sécurisez les applications critiques pour l'entreprise, notamment la messagerie, le VPN, les systèmes RH et les outils financiers, avant les services moins sensibles.

Construire une infrastructure de récupération robuste

Mettez en place plusieurs mécanismes de récupération sans créer de portes dérobées par mot de passe. Exigez que les utilisateurs enregistrent des clés de sécurité matérielles de secours en plus des authentificateurs de plateforme principaux afin que la perte d'un appareil ne provoque pas de verrouillage total.

La récupération administrative doit vérifier l'identité via plusieurs canaux : vérification de pièce d'identité, confirmation du manager et validation de questions de sécurité. Les passkeys synchronisées dans le cloud offrent une récupération automatique lorsque les utilisateurs se connectent à un nouvel appareil avec le même compte de plateforme. Réservez les passkeys liées à l'appareil aux accès privilégiés nécessitant une authentification attestée matériellement.

Intégrer aux plateformes d'identité

Connectez-vous aux plateformes d'identité d'entreprise telles que Microsoft Entra ID en utilisant des politiques d'accès conditionnel. L'authentification basée sur le risque peut imposer la vérification par passkey résistante au phishing pour les conditions à risque élevé tout en permettant une authentification simplifiée dans les scénarios à faible risque. L'intégration à la plateforme d'identité fournit également des journaux d'audit centralisés corrélant l'authentification par passkey avec l'accès aux applications et le comportement utilisateur.

Établir des processus d'amélioration continue

Suivez les indicateurs d'adoption : taux d'enregistrement, taux de réussite d'authentification, fréquence de récupération et escalades au support. Faites évoluer les flux d'authentification en fonction des données opérationnelles et des retours utilisateurs à mesure que le support des plateformes et la maturité organisationnelle progressent.

Les passkeys renforcent votre périmètre d'authentification, mais les attaquants ne s'arrêtent pas au vol d'identifiants.

Réduire les risques liés à l'identité dans l'ensemble de votre organisation

Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.

Obtenir une démonstration

Points clés à retenir

Les passkeys éliminent le vol d'identifiants et le phishing grâce à une authentification cryptographique où les clés privées ne quittent jamais les appareils des utilisateurs. Aucun mot de passe ne transite sur le réseau, supprimant la méthode d'accès initiale la plus courante exploitée par les attaquants exploitent. Le déploiement en entreprise nécessite un déploiement progressif en commençant par les utilisateurs à haut risque et les applications critiques, avec une planification rigoureuse concernant les contraintes des systèmes hérités, les incohérences multiplateformes et les freins à l'adoption utilisateur.

Négliger la sensibilisation des utilisateurs, utiliser des messages d'erreur génériques et maintenir une authentification de secours faible peuvent compromettre les gains de sécurité des passkeys s'ils ne sont pas traités. Les plateformes de sécurité d'identité complètent la prévention par passkey en détectant les attaques ciblant l'infrastructure d'authentification au-delà de la couche d'identifiants, y compris la compromission d'Active Directory, l'escalade de privilèges et les mouvements latéraux.

FAQ

Une passkey est un identifiant cryptographique sans mot de passe qui remplace les mots de passe en utilisant la cryptographie à clé publique. Votre appareil génère une paire de clés unique : la clé privée reste stockée dans un espace sécurisé matériellement sur votre appareil, et la clé publique est transmise au fournisseur de service. 

L’authentification s’effectue via un mécanisme de défi-réponse cryptographique, de sorte qu’aucun mot de passe ni secret réutilisable ne transite jamais sur le réseau.

Non. Les passkeys utilisent la cryptographie asymétrique où les clés privées restent dans les modules de sécurité matériels de votre appareil et ne sont jamais transmises sur les réseaux. 

Les tentatives de phishing échouent car les passkeys vérifient cryptographiquement le domaine de destination avant l'authentification, empêchant leur utilisation sur des sites usurpés.

La récupération dépend de votre architecture. Les passkeys synchronisées et chiffrées dans des trousseaux de clés cloud restent accessibles depuis tout appareil connecté à votre compte de plateforme. 

Les passkeys liées à l'appareil nécessitent des authentificateurs de secours enregistrés lors de l'inscription. Les organisations doivent mettre en place plusieurs mécanismes de récupération pour éviter tout verrouillage complet du compte.

Les passkeys synchronisées fonctionnent sur les appareils au sein du même écosystème de plateforme (Apple, Google, Microsoft). L'authentification inter-plateformes nécessite un enregistrement de passkey distinct par écosystème ou des clés de sécurité matérielles implémentant les standards FIDO2.

Oui. Les passkeys sont conformes aux exigences NIST SP 800-63B AAL3 pour l'authentification multifacteur résistante au phishing. Les passkeys liées à l'appareil avec attestation matérielle répondent aux exigences d'assurance d'authentification les plus élevées pour les systèmes fédéraux. La CISA désigne les passkeys FIDO/WebAuthn comme la référence pour la MFA.

Les passkeys implémentent les standards FIDO2/WebAuthn pris en charge par les plateformes d'identité d'entreprise, y compris Microsoft Entra ID. Les stratégies d'accès conditionnel appliquent l'authentification basée sur les passkeys selon les signaux de risque. 

L'implémentation nécessite des stratégies progressives traitant la compatibilité avec les systèmes existants, les mécanismes de récupération et la gestion du changement.

En savoir plus sur Sécurité de l'identité

Authentification multifacteur adaptative : Guide completSécurité de l'identité

Authentification multifacteur adaptative : Guide complet

L’authentification multifacteur adaptative ajuste la robustesse de l’authentification en fonction de l’évaluation du risque en temps réel, surveillant en continu les sessions pour empêcher les attaques par vol de jeton qui contournent la MFA traditionnelle.

En savoir plus
Qu'est-ce que l'authentification MFA résistante au phishing ? Sécurité moderneSécurité de l'identité

Qu'est-ce que l'authentification MFA résistante au phishing ? Sécurité moderne

L'authentification MFA résistante au phishing utilise la liaison cryptographique de domaine pour empêcher le vol d'identifiants. Découvrez le fonctionnement des méthodes basées sur FIDO2 et PKI et pourquoi la CISA les considère comme la référence.

En savoir plus
Sécurité du fournisseur d'identité (IDP) : Définition et enjeuxSécurité de l'identité

Sécurité du fournisseur d'identité (IDP) : Définition et enjeux

Découvrez comment les systèmes de détection d'intrusion et l'authentification FIDO2 stoppent les attaques IdP visant votre infrastructure.

En savoir plus
Qu'est-ce que NTLM ? Risques de sécurité NTLM sous Windows et guide de migrationSécurité de l'identité

Qu'est-ce que NTLM ? Risques de sécurité NTLM sous Windows et guide de migration

NTLM est un protocole d'authentification Windows présentant des vulnérabilités critiques. Découvrez les attaques Pass-the-Hash, les risques de relais et la migration avant octobre 2026.

En savoir plus
Prêt à révolutionner vos opérations de sécurité ?

Prêt à révolutionner vos opérations de sécurité ?

Découvrez comment SentinelOne AI SIEM peut transformer votre SOC en une centrale autonome. Contactez-nous dès aujourd'hui pour une démonstration personnalisée et découvrez l'avenir de la sécurité en action.

Demander une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français