L'essentiel
- Comprenez pourquoi les attaques basées sur les credentials restent la porte d'entrée nº 1 aux réseaux d'entreprise, malgré une décennie de déploiements MFA.
- Comparez les authentificateurs mobiles, les hardware keys FIDO2 et les badges RFID pour adapter l'outil à chaque population de la effectifs.
- Planifiez un déploiement en 6 phases — du pilote à 10 utilisateurs à l'ensemble des collaborateurs — et calculez le TCO pour toute taille d'entreprise.
- Mappez les contrôles à NIS2, DORA, GDPR et eIDAS 2.0 avec des preuves prêtes pour l'audit à chaque étape.
Le Verizon 2025 DBIR montre que 22 % des breaches commencent par des credentials volés et 16 % supplémentaires par du phishing — l'accès basé sur les credentials reste le point d'entrée le plus exploité dans les réseaux d'entreprise. Chaque ticket de réinitialisation, chaque credential réutilisé, chaque demande MFA fatiguée élargit cet écart.
Éliminer les mots de passe n'est plus un projet de recherche. Avec une application d'authentificateur mobile pour la majeure partie de la effectifs, des passkeys d'entreprise et des hardware keys liés à l'identité pour les rôles à forte assurance, vous pouvez faire passer chaque collaborateur à un accès résistant au phishing — sans perturber les apps legacy ni l'infrastructure Microsoft.
Les questions plus difficiles sont opérationnelles : déployer sur les postes partagés, gérer les endpoints offline, mapper les contrôles à NIS2 et DORA, et récupérer les appareils perdus sans recours aux resets du support.
Ce guide offre aux architectes DSI, RSSI et IAM un framework prêt au déploiement : méthodes, coûts, cas limites et preuves de conformité inclus.
Ce que l'authentification sans mot de passe signifie réellement en 2026
De la fatigue MFA à la cryptographie résistante au phishing
L'authentification sans mot de passe pour la effectifs remplace les secrets partagés par des credentials cryptographiques liés à une identité vérifiée. Le modèle des secrets partagés (mots de passe, codes SMS, OTP, validations push) s'est effondré sous la fatigue MFA et l'ingénierie sociale ciblant le support. Les intrusions de Scattered Spider chez MGM et Caesars ont exploité précisément cette faille. Le Verizon 2025 DBIR montre que les credentials restent le vecteur d'accès initial dominant — présents dans 22 % de toutes les breaches et 88 % des attaques web basiques — tandis que CyberArk indique que 9 organisations sur 10 ont subi des incidents de phishing sur l'année écoulée.
Comment fonctionnent FIDO2, les passkeys et WebAuthn
FIDO2 combine WebAuthn (API navigateur) et CTAP (protocole d'authentificateur) autour de la cryptographie à clé publique. La clé privée ne quitte jamais l'appareil ; le serveur ne stocke que la clé publique. Le binding de domaine rend les credentials inutilisables sur des sites usurpés. Les passkeys synchronisés circulent via le compte cloud de l'utilisateur, les passkeys liés à l'appareil restent sur un seul endpoint, et les hardware keys offrent la plus haute assurance. La biométrie déverrouille la clé locale — elle n'est jamais transmise.
Choisir le bon mix d'authentification pour votre effectifs
Aucune méthode unique ne couvre tous les scénarios. Un agent de centre d'appels en rotation d'équipes, un chirurgien portant des gants stériles et un ingénieur distant sur une plateforme offline ont chacun besoin d'un authentificateur différent. Pour la majorité des knowledge workers, une application d'authentificateur mobile est la voie la plus rapide vers l'authentification sans mot de passe : le téléphone authentifie l'utilisateur sur les apps SSO via passkey ou login QR, déverrouille le poste par proximité et le verrouille automatiquement dès qu'il s'éloigne. Les hardware keys s'ajoutent pour les utilisateurs privilégiés, les équipes frontline où les téléphones sont interdits ou les environnements réglementaires stricts. Mappez les méthodes aux populations plutôt que de standardiser sur un seul facteur.
Authentificateurs mobiles, passkeys, hardware keys, NFC et login QR comparés
| Méthode | Résistance au phishing | Offline | Poste partagé | Coût/utilisateur (3 ans) | Récupération | Niveau NIST |
|---|---|---|---|---|---|---|
| Application d'authentificateur mobile (passkey + proximité) | Élevée | Hybride (mis en cache) | Excellent (proximité BLE) | Faible | Re-pairing sur appareil secondaire | AAL2 |
| Hardware key FIDO2 | Élevée | Oui | Bon (tap NFC) | $50–80 | Clé de secours | AAL3 |
| Passkey lié à l'appareil | Élevée | Oui | Limité | Faible | Ré-enrôlement | AAL2 |
| Passkey synchronisé | Moyenne | Oui | Faible | Faible | Compte cloud | AAL2 |
| Push mobile (legacy) | Moyenne | Non | Limité | Moyen | Re-pairing | AAL2 |
| Badge NFC/RFID + PIN | Moyenne | Oui | Excellent | $15–25 | Réémission de badge | AAL2 |
| Login QR | Moyenne | Non | Bon | Faible | Récupération mobile | AAL2 |
Postes partagés, frontline, offline et couverture des apps legacy
Les environnements partagés ont besoin de tap-and-go. Un téléphone appairé via la proximité BLE déverrouille le poste lorsque l'utilisateur est à portée et le verrouille dès qu'il s'éloigne — sans badge, sans mot de passe, sans session ouverte. Pour les environnements où les téléphones ne sont pas autorisés (services cliniques, fabrication, sites sécurisés), un badge NFC/RFID fait le même travail en moins de deux secondes — et sert également de credential d'accès physique aux portes de bureau.
Pour les apps legacy (AS/400, SAP GUI, RADIUS, LDAP, Kerberos), appliquez cet arbre de décision : remplacer si une variante SAML/OIDC existe ; encapsuler avec un reverse proxy ou un sign-in géré par l'IdP lorsque c'est faisable ; stocker les credentials dans un hardware key lié à l'identité — capable de contenir jusqu'à mille credentials d'anciens comptes qui exigent encore des mots de passe — et retirer le reste. Un IdP moderne ne devrait pas s'arrêter aux apps SaaS : c'est la couverture sans mot de passe qui s'étend au VPN, au RDP et aux services web legacy qui élimine le dernier shadow password.
Planifier votre déploiement : du pilote au déploiement en entreprise
Un framework par phases avec cycle de vie et récupération intégrés
Un déploiement contrôlé suit six phases : alignement des parties prenantes, communication, sélection des méthodes, QA sur navigateurs et versions d'OS, formation du support, puis montée en charge progressive de 10 utilisateurs à 100, 500 puis l'ensemble de la effectifs. Enregistrez au moins deux authentificateurs par utilisateur dès le premier jour : un authentificateur mobile sur le téléphone de l'utilisateur plus un hardware key FIDO2 ou un passkey de secours sur un second appareil.
Le cycle de vie des hardware keys mérite la même rigueur que votre flotte de portables. Choisissez entre achat groupé et enrôlement drop-ship, pré-provisionnez les clés sur votre IdP avant l'envoi, et reliez les événements joiner-mover-leaver à votre HRIS pour une révocation automatique. Planifiez les workflows RMA et un modèle de coût par clé sur 3 ans dès le départ.
Pour la récupération d'appareils perdus, prévoyez des codes d'accès temporaires, un ré-enrôlement attesté par le manager, une vérification vidéo et des contrôles de liveness biométrique. Ne laissez jamais votre support faire un reset vers un mot de passe. Ce raccourci réintroduit précisément la vulnérabilité que votre programme passwordless devait éliminer.
TCO, ROI et business case du passwordless
Construire votre modèle de coûts pour toutes tailles d'entreprise
Un business case défendable s'appuie sur quatre lignes de coût : coût par ticket support pour reset de mot de passe (benchmark sectoriel $25–$70), perte de productivité par minute de friction, achat des hardware keys et licences plus intégration. À 500 collaborateurs, attendez-vous à un payback inférieur à 12 mois, principalement porté par la réduction des tickets. À 5 000, les gains de productivité dominent : Okta rapporte $470K de productivité annuelle récupérée et Intermex a mesuré une réduction de 70 % des tickets après déploiement. À 50 000, la réduction du risque de breach entre dans le modèle, le vol de credentials étant le moteur principal des incidents en effectifs.
Right-Sizing pour le mid-market
Les organisations mid-market n'ont que rarement besoin de l'architecture vendue aux acheteurs Fortune 500. Un stack minimum viable — un authentificateur mobile-first, un connecteur IdP et une politique centralisée — coûte environ $3–$6 par utilisateur/mois et se déploie en 30 jours avec une équipe de 2 à 5 personnes. Les hardware keys peuvent être ajoutés sélectivement au petit sous-ensemble d'utilisateurs nécessitant un niveau d'assurance AAL3, plutôt que distribués à toute la flotte dès le premier jour.
Conformité et choix du fournisseur
Mapping NIS2, DORA, GDPR, eIDAS 2.0 et NIST AAL
Les régulateurs européens considèrent désormais l'authentification résistante au phishing comme un contrôle de base, et non comme un objectif de maturité. L'article 21(2)(j) de NIS2 exige une MFA ou une authentification continue pour les entités essentielles ; les RTS DORA sur la gestion du risque ICT imposent une authentification forte pour les accès privilégiés dans les entreprises financières ; l'article 32 du GDPR rattache la sécurité des credentials à la responsabilité en cas de breach ; eIDAS 2.0 aligne l'assurance effectifs avec l'EU Digital Identity Wallet. Mappez chaque contrôle à un choix concret : les hardware keys FIDO2 satisfont NIST 800-63B AAL3, les passkeys liés à l'appareil et les authentificateurs mobiles vérifiés couvrent AAL2, et la vérification d'identité à l'enrôlement comble l'écart résiduel. Conservez les logs d'enrôlement, les certificats d'attestation et les enregistrements de révocation comme preuves d'audit.
Un framework d'évaluation neutre vis-à-vis du fournisseur
Notez les fournisseurs présélectionnés sur six catégories plutôt que de vous fier à des classements :
- Résistance au phishing et authentificateurs supportés (app mobile, hardware key, badge)
- Intégrations IdP au-delà du SaaS — OIDC, SAML, plus VPN, RDP et sign-in web legacy
- Couverture offline et postes partagés, y compris déverrouillage par proximité
- Vérification d'identité et workflows de récupération
- Modèle de déploiement et transparence tarifaire
- Sortie et portabilité des credentials
Réservez une démo avec Hideez pour cadrer un déploiement passwordless dans votre environnement — ou, si vous êtes MSSP ou prestataire de services IT en train de bâtir une practice passwordless pour vos clients, explorez le Hideez Partner Program.
Foire aux questions
Quelles méthodes sans mot de passe sont vraiment résistantes au phishing ?
Seuls les authentificateurs construits sur la cryptographie FIDO2/WebAuthn se qualifient : les hardware keys de sécurité, les passkeys de plateforme liés au secure element de l'appareil, les applications d'authentificateur mobile qui stockent les passkeys dans le secure enclave du téléphone, et les smartcards reposant sur PKI. Les notifications push, OTP et magic links restent vulnérables aux attaques de relais et à la fatigue MFA. La résistance au phishing vient de l'origin binding : le credential refuse de fournir une signature à un domaine usurpé.
Comment gérez-vous l'authentification sans mot de passe sur les postes partagés et en environnement offline ?
Pour les knowledge workers comme pour le personnel clinique, le déverrouillage par proximité BLE depuis un téléphone appairé est le motif le plus rapide : le poste se déverrouille à l'approche de l'utilisateur et se verrouille dès qu'il s'éloigne, avec un audit trail complet précisant qui a utilisé quel terminal et à quel moment. Là où les téléphones ne sont pas autorisés, le tap-and-go badge NFC/RFID avec fast user switching couvre les usines, les services cliniques et les terminaux POS. Pour les scénarios offline, le endpoint doit mettre en cache localement les données du vérificateur et appliquer des fenêtres de confiance limitées dans le temps qui se resynchronisent à la reconnexion.
Comment déployer le passwordless sans casser les applications legacy ?
Appliquez un arbre de décision par application. Remplacez si le fournisseur propose une variante SAML ou OIDC. Encapsulez les apps web legacy et les thick clients via un reverse proxy ou un sign-in géré par l'IdP lorsque les protocoles modernes ne sont pas disponibles — un IdP capable couvrira VPN, RDP et sign-in web legacy en plus de son catalogue SaaS, de sorte que les utilisateurs voient un flux passwordless unique quel que soit le back-end. Stockez les credentials récalcitrants dans un hardware key lié à l'identité pour la longue traîne de comptes qui exigent encore des mots de passe, et retirez tout ce qui ne se justifie plus — chaque app legacy retirée représente une surface d'attaque en moins.
