Le DBIR 2024 de Verizon attribue 68 % des violations au facteur humain, les identifiants volés restant le principal vecteur d'accès initial. Le Single Sign-On était censé réduire cette surface d'exposition, mais le SSO basé sur des mots de passe concentre le risque : compromettre un identifiant suffit à exposer toutes les applications connectées.
Le SSO sans mot de passe réécrit cette équation. En associant un fournisseur d'identité fédéré à des authentificateurs FIDO2, à la biométrie ou à des passkeys liées au périphérique, vous supprimez entièrement le secret partagé. L'utilisateur s'authentifie une seule fois, la preuve cryptographique est transmise à chaque application SAML ou OIDC, et les kits de phishing n'ont plus rien à dérober.
Ce guide couvre l'architecture, la cartographie réglementaire (NIS2, DORA, RGPD), une comparaison de fournisseurs et un playbook de déploiement destiné aux décideurs IT qui planifient un déploiement en 2026, y compris les postes de travail partagés, les applications patrimoniales et la récupération de compte.
Qu'est-ce que le SSO sans mot de passe et pourquoi est-il important maintenant
Single Sign-On vs. SSO sans mot de passe : clarifier la différence
Le SSO traditionnel centralise l'authentification derrière un identifiant principal, puis fédère cette session via des assertions SAML ou OIDC. Si le mot de passe initial est compromis, l'attaquant hérite de l'ensemble du portefeuille applicatif. Le SSO sans mot de passe remplace cet identifiant par une clé cryptographique liée à un périphérique ou à un authentificateur matériel. Le fournisseur d'identité valide un défi signé — jamais un secret partagé — avant d'émettre les mêmes jetons fédérés.
Pourquoi 80 % des violations sont encore imputables aux mots de passe
Le DBIR de Verizon attribue régulièrement plus de 80 % des intrusions à des identifiants volés, réutilisés ou hameçonnés. Le SSO basé sur des mots de passe concentre ce risque au lieu de l'éliminer. Supprimer l'identifiant au niveau de la couche IdP — via des clés FIDO2 ou des passkeys — ferme le vecteur de phishing pour toutes les applications en aval.
Comment fonctionne le SSO sans mot de passe : le flux d'authentification
Du login sur le poste de travail à l'accès aux applications en aval
Un collaborateur approche une Hideez Key de son poste de travail. Le client local valide le défi cryptographique, déverrouille la session Windows et transmet l'identité de l'utilisateur au fournisseur d'identité. Chaque requête SAML ou OIDC d'une application en aval reçoit alors un jeton signé, sans invite de mot de passe. Le facteur biométrique ou matériel reste sur le périphérique ; seules les assertions circulent.
SAML, OIDC et WebAuthn : quel protocole fait quoi
WebAuthn régit l'échange entre l'utilisateur et l'authentificateur : le navigateur vérifie les identifiants FIDO2 auprès de la partie utilisatrice. SAML transporte l'identité authentifiée vers les applications d'entreprise patrimoniales via des assertions XML signées, tandis qu'OIDC gère les charges de travail cloud modernes et mobiles via des jetons JSON Web. Le fournisseur d'identité orchestre les trois, traduisant un seul événement d'authentification sans mot de passe en accès fédéré à l'ensemble du portefeuille.
Passkeys, FIDO2 et WebAuthn : clarification de la terminologie
Les acheteurs confondent souvent trois termes que les fournisseurs utilisent de manière interchangeable. Chacun décrit une couche distincte du même stack.
La carte des relations : FIDO2 = WebAuthn + CTAP
FIDO2 est le standard chapeau qui combine WebAuthn (l'API W3C exposée aux navigateurs) et CTAP2 (le Client-to-Authenticator Protocol qui permet à un périphérique externe comme une clé matérielle de communiquer avec le client). Les passkeys sont une couche UX construite sur des identifiants FIDO2, rendant les identifiants découvrables portables entre les appareils.
Passkeys synchronisées, passkeys liées au périphérique et clés matérielles : quand utiliser chacune
Les passkeys synchronisées (iCloud Keychain, Google Password Manager) conviennent aux applications grand public et au BYOD. Les passkeys liées au périphérique s'adaptent aux ordinateurs portables d'entreprise avec attestation TPM. Les clés matérielles telles que la Hideez Key restent la solution la plus solide pour les secteurs réglementés, les postes de travail partagés et tout environnement nécessitant une authentification auditable et résistante au phishing indépendante du mobile de l'utilisateur.
Comparaison des authentificateurs : biométrie, push mobile et clés matérielles FIDO2
Chaque méthode implique des compromis en termes de posture de sécurité, d'expérience utilisateur et de coût opérationnel qui n'apparaissent vraiment qu'à grande échelle.
Tableau de bord : résistance au phishing, auditabilité et portabilité
| Critère | Biométrie de plateforme | Push mobile | Clé matérielle FIDO2 |
|---|---|---|---|
| Résistance au phishing | Élevée | Moyenne | Maximale |
| Piste d'audit | Locale au périphérique | Dépendante de l'application | Centralisée via IdP |
| Portabilité entre terminaux | Faible | Moyenne | Élevée |
| Utilisation hors ligne | Oui | Non | Oui |
| Adéquation aux postes partagés | Faible | Faible | Excellente |
Le push mobile reste vulnérable aux attaques par fatigue MFA documentées par la CISA. Les clés matérielles liées à des défis WebAuthn neutralisent cette catégorie d'attaque.
Coût total de possession sur 3 ans par type d'authentificateur
L'enrôlement biométrique semble gratuit mais dissimule des coûts cachés de renouvellement matériel. Le push mobile nécessite des licences MDM d'environ 6 USD par utilisateur/mois. Une clé FIDO2 amortie sur 36 mois tombe en dessous de 1,50 USD par utilisateur/mois, pièce de rechange incluse.
Conformité réglementaire : NIS2, DORA, RGPD, HIPAA, PCI-DSS
Les équipes de conformité achètent des solutions d'authentification parce que les régulateurs exigent une MFA résistante au phishing, des pistes d'audit signées et une gestion prouvable du cycle de vie des identifiants. Le SSO sans mot de passe répond à ces exigences lorsqu'il est associé à des facteurs matériels FIDO2, y compris les obligations qui incombent aux organisations de services financiers au titre de DORA et PCI-DSS.
Tableau de cartographie de la conformité : quel contrôle couvre quelle exigence
| Fonctionnalité | NIS2 Art. 21 | DORA | RGPD Art. 32 | HIPAA §164.312 | PCI-DSS 4.0 |
|---|---|---|---|---|---|
| MFA résistante au phishing | ✓ | ✓ | ✓ | ✓ | Exig. 8.4 |
| Suppression des identifiants | ✓ | ✓ | ✓ | ✓ | Exig. 8.3 |
| Journaux d'audit signés | ✓ | ✓ | ✓ | ✓ | Exig. 10 |
| Révocation de session | ✓ | ✓ | — | ✓ | Exig. 8.2 |
Exigences spécifiques à l'UE : NIS2 article 21, DORA et recommandations de l'ANSSI
L'article 21(2)(j) de NIS2 impose la MFA ou l'authentification continue aux entités essentielles. Les recommandations de l'ANSSI relatives à l'authentification multifacteur citent explicitement les clés FIDO2 comme méthode privilégiée. L'article 9 de DORA étend des obligations identiques aux entités financières et à leurs prestataires tiers en matière de TIC.
Intégration du SSO sans mot de passe avec Okta, Entra ID, AD FS et PingFederate
Votre fournisseur d'identité existant reste en place. Hideez s'intègre à la couche de fédération comme authentificateur externe, non comme IdP de remplacement.
Schémas de fédération : Claims Provider Trust, délégation SAML et bridging OIDC
Trois schémas couvrent 95 % des déploiements. Avec Okta, Hideez s'enregistre comme fournisseur d'identité via SAML entrant ; Okta conserve l'orchestration des politiques. Avec Entra ID, les External Authentication Methods (EAM) ou le Claims Provider Trust délèguent la cérémonie FIDO2 à Hideez pendant qu'Entra émet le jeton final. AD FS utilise le Claims Provider Trust via WS-Federation ; PingFederate accepte le bridging OIDC via un IdP Adapter.
Sans rip-and-replace : préserver votre investissement IAM
Vous conservez votre catalogue d'applications SAML, vos politiques d'accès conditionnel et vos flux de provisionnement. Hideez se positionne en amont du fournisseur d'identité, gérant la cérémonie d'authentification avec des clés matérielles ou des passkeys. Aucune migration d'attributs utilisateur, aucune re-fédération des applications en aval.
Gestion des applications patrimoniales, des postes partagés et des travailleurs de terrain
Connexion des clients lourds, RDP et mainframes via des proxys inverses et RADIUS
Le SSO sans mot de passe natif cloud s'arrête à la frontière SAML. Les clients lourds, les passerelles RDP et les terminaux AS/400 ne parlent ni OIDC ni WebAuthn. Hideez comble cette lacune via un proxy RADIUS pour les VPN et les équipements réseau, l'injection d'identifiants pour les applications Windows patrimoniales, et la publication via proxy inverse pour les outils web internes sans fédération moderne. Votre architecte IAM mappe chaque application au bon intermédiaire avant le déploiement.
Tap-to-Login pour les environnements de santé, de fabrication et les bornes de vente au détail
La biométrie échoue quand les infirmières portent des gants, que les opérateurs d'usine partagent un terminal entre équipes, ou que le personnel de vente au détail tourne à la caisse chaque heure. Une clé matérielle portable approchée d'un lecteur NFC connecte l'utilisateur en moins de deux secondes, puis le déconnecte au retrait. La même Hideez Key fonctionne hors ligne, sur des bornes Windows 10 LTSC et dans des environnements avec restriction BYOD où les authentificateurs mobiles sont interdits. Hideez propose des solutions dédiées pour les environnements de santé et cliniques et pour la fabrication et les sites industriels.
Récupération de compte et stratégie de secours
La question de ce qui se passe quand l'utilisateur perd sa clé tue plus de projets SSO sans mot de passe que n'importe quelle limitation technique. Un plan de récupération crédible doit correspondre au profil de risque de l'utilisateur.
Schémas de récupération par rôle utilisateur : cadre dirigeant, terrain, prestataire
Les cadres dirigeants ont besoin de clés matérielles de secours pré-enrôlées conservées dans une enveloppe scellée, avec une récupération attestée par un administrateur. Le personnel de terrain bénéficie d'identifiants temporaires émis par leur responsable, valables pour un seul poste et liés à la politique du poste partagé. Les prestataires doivent s'appuyer sur un ré-enrôlement à durée limitée via le fournisseur d'identité, avec attestation du responsable et expiration automatique à la fin de la mission.
Clés de secours, codes de contournement et ré-enrôlement en libre-service
Émettez une deuxième clé FIDO2 lors de l'intégration pour chaque compte privilégié. Les codes de contournement restent acceptables pour les scénarios d'urgence lorsqu'ils sont journalisés et renouvelés tous les 90 jours. Le ré-enrôlement en libre-service exige une vérification d'identité via un périphérique vérifié ou une vérification vidéo avant de lier tout nouvel authentificateur.
Le vrai coût du SSO sans mot de passe : analyse TCO et ROI
Les pages de tarification des fournisseurs reflètent rarement ce qu'un projet consomme réellement sur trois ans. Le budget réel se répartit en quatre postes.
Facteurs de coûts cachés : licences, matériel, déploiement, conduite du changement
Les licences IdP évoluent par utilisateur et par fonctionnalité premium (accès conditionnel, signaux de risque). Les authentificateurs matériels vont de 25 à 60 USD par clé, doublés si vous en émettez une de secours. Les heures de déploiement couvrent la fédération IdP, l'intégration des applications, la synchronisation des annuaires et la création des politiques. La conduite du changement, la formation, la documentation et la montée en compétence du support représentent typiquement 15 % du coût total du projet.
Un modèle ROI transparent pour 100, 500 et 5 000 utilisateurs
| Utilisateurs | TCO sur 3 ans | Économies support | Réduction du risque de violation |
|---|---|---|---|
| 100 | 18 000 USD | 22 000 USD | 40 000 USD |
| 500 | 72 000 USD | 110 000 USD | 200 000 USD |
| 5 000 | 540 000 USD | 1,1 M USD | 2 M USD |
Comparaison des fournisseurs : Hideez, Beyond Identity, Duo, Okta FastPass et Entra
Le choix d'un fournisseur de SSO sans mot de passe dépend de trois variables : le portefeuille d'authentificateurs, la profondeur de fédération IdP et le support sur site. Hideez se distingue en traitant les clés matérielles FIDO2 comme l'identifiant principal plutôt que comme une solution de repli.
Matrice comparative : authentificateurs, compatibilité IdP, support on-premise, tarification
Hideez prend en charge les clés matérielles, la biométrie, le push mobile et les passkeys, fédère avec Okta, Entra et AD FS via SAML et OIDC, et fonctionne entièrement sur site. Les solutions concurrentes se concentrent sur les déploiements cloud uniquement et les authentificateurs de plateforme, avec une couverture tap-to-login limitée pour les terminaux partagés.
Critères de sélection pour les PME, le mid-market et les grandes entreprises régulées
Les PME doivent prioriser la transparence tarifaire et un déploiement en moins de 30 jours. Les organisations du mid-market ont besoin de flexibilité IdP et de connexion des applications patrimoniales. Les grandes entreprises régulées exigent la certification FIDO2, des plans de contrôle on-premise et des journaux de niveau audit pour satisfaire aux mandats NIS2 et DORA.
Playbook de déploiement : du pilote au déploiement complet en 30/60/90 jours
Phases 1 et 2 : groupe pilote, durcissement des politiques et distribution des authentificateurs
Commencez par un pilote de 15 à 25 utilisateurs couvrant une équipe IT et une unité métier. Durant les jours 1 à 30, connectez votre IdP (Okta, Entra ID, AD FS ou PingFederate), définissez une politique d'authentification sans mot de passe et expédiez des clés matérielles FIDO2 aux utilisateurs pilotes. Les jours 31 à 60 se concentrent sur le durcissement : appliquez la MFA résistante au phishing sur les applications critiques, configurez les durées de vie des sessions et validez l'ingestion des journaux d'audit dans votre SIEM.
Phase 3 : déploiement entreprise, conduite du changement et liste de contrôle pré-déploiement
Les jours 61 à 90 étendent la couverture à tous les collaborateurs, y compris les postes partagés et les applications patrimoniales connectées via RADIUS ou proxy inverse. Avant le déploiement, vérifiez :
- Authentificateur de secours émis pour chaque utilisateur
- Procédure de récupération du support documentée
- Inventaire des applications patrimoniales mappé sur SAML ou coffre-fort de mots de passe
- Plan de communication et courte vidéo de formation distribués
Prêt à éliminer le risque lié aux identifiants dans votre portefeuille applicatif ? Réservez une démo pour voir comment Hideez s'intègre à votre IdP existant en quelques heures, ou explorez le programme partenaire pour déployer le SSO sans mot de passe pour vos clients.
Questions fréquentes sur le SSO sans mot de passe
Comment le SSO sans mot de passe s'intègre-t-il avec Okta ou Microsoft Entra ID ?
Hideez se connecte à votre fournisseur d'identité existant via la fédération SAML 2.0 ou OIDC. Le fournisseur d'identité délègue l'authentification au Hideez Authentication Service, qui valide l'assertion FIDO2 de la clé ou de la passkey de l'utilisateur, puis renvoie un jeton signé. Aucune migration d'annuaire n'est requise.
Combien coûte le SSO sans mot de passe pour une PME ?
Pour une organisation de 200 employés, prévoyez 15 à 35 USD par utilisateur et par an pour la couche logicielle, plus un coût matériel unique de 40 à 70 USD par clé de sécurité. Les économies du support sur les réinitialisations de mots de passe compensent généralement 60 % de cette dépense en 12 mois.
Que se passe-t-il quand un utilisateur perd sa clé matérielle ou son téléphone ?
Chaque utilisateur est enrôlé avec un authentificateur de secours. Si les deux sont perdus, le support émet un identifiant de récupération à durée limitée après vérification d'identité, et la clé perdue est révoquée immédiatement depuis la console d'administration.
