Guide Passkeys : Acheter ou Développer ?

Développer ou acheter une solution de passkeys ? Découvrez les avantages et les inconvénients des passkeys DIY par rapport aux solutions de fournisseurs (SaaS et sur site), ainsi que les défis, les coûts et les meilleures pratiques.

Téléchargez le guide complet : Acheter ou Développer une solution de Passkeys#

Téléchargez gratuitement le guide complet Acheter ou Développer une solution de Passkeys et accédez à toutes nos analyses.

✅ Demandé par les équipes d'Adidas, Woolworths & Mitsubishi
✅ Liste complète des composantes et modèle de coûts pour décider entre l'achat et le développement
✅ Cadre de décision pratique de 50 pages

Acheter ou développer une solution de passkeys ?

Téléchargez le guide complet : Acheter ou Développer

Obtenez une checklist complète pour le déploiement des passkeys, comparant les solutions DIY et celles des fournisseurs (SaaS et sur site), les principaux défis, les coûts et les meilleures pratiques.

Téléchargez gratuitement le guide Acheter ou Développer

1. Motivation : Faut-il acheter ou développer une solution d'authentification par passkeys ?#

L'idée de développer sa propre implémentation de passkeys semble séduisante : un contrôle total, des intégrations personnalisées et aucune dépendance vis-à-vis d'un fournisseur. Après tout, FIDO2 repose sur des standards ouverts et écrire les premières lignes de code WebAuthn paraît assez simple. À quel point cela peut-il être difficile ?

Mais c'est souvent là que la complexité commence, surtout lorsqu'on prévoit de construire une solution pour un scénario de déploiement à grande échelle pour des consommateurs avec des millions d'utilisateurs dans des secteurs tels que :

Banque et services financiers (par ex. banque en ligne, banque, paiements, fintech)
Gouvernement et services publics (par ex. portails citoyens, plateformes fiscales et de sécurité sociale)
Assurance et santé (par ex. portails patients, plateformes d'assurance numériques)
E-commerce et vente au détail (par ex. marketplaces, programmes de fidélité)
Télécommunications et services publics (par ex. opérateurs mobiles, fournisseurs d'énergie)
Voyages et hôtellerie (par ex. comptes de compagnies aériennes, programmes de fidélité hôteliers)

Le véritable défi commence après la première connexion réussie avec un passkey et se révèle souvent alors que l'on est déjà en train d'implémenter la solution de passkeys. Soudain, des cas limites étranges, des erreurs utilisateur déroutantes et des blocages potentiels d'utilisateurs dus à la non-disponibilité des passkeys apparaissent. Ce qui semblait être une intégration simple se transforme en des mois, voire des années, d'efforts de développement, de coûts de maintenance imprévus et potentiellement en un projet de passkeys raté.

Cependant, développer sa propre solution peut aussi être le bon choix pour certaines organisations et des exigences spécifiques. Nous avons discuté avec des dizaines d'organisations de leurs plans d'implémentation de passkeys et avons accompagné certaines d'entre elles de manière pratique. Ce guide vous aidera à déterminer quand une approche de passkeys "Do-It-Yourself" (DIY) peut avoir du sens et quand le choix d'un fournisseur de passkeys établi est la décision la plus judicieuse.

Avec notre Guide Passkeys : Acheter ou Développer, nous souhaitons répondre aux questions suivantes :

Quels composants sont nécessaires pour implémenter les passkeys et passer au sans mot de passe ?
Dois-je implémenter les passkeys en interne ou faire appel à un fournisseur externe de passkeys ?
Quel est l'avantage d'avoir un fournisseur de passkeys alors qu'il existe des bibliothèques open-source ?
Quels sont les plus grands défis dans la construction d'une solution de passkeys ?
Quels sont les risques d'une implémentation des passkeys en interne ?

2. Prérequis : Pourquoi les passkeys sont le nouveau standard de connexion#

Les mots de passe sont obsolètes, peu sûrs et frustrants. Les passkeys éliminent les risques de phishing, améliorent l'expérience utilisateur et simplifient l'authentification, ce qui en fait le nouveau standard des connexions sécurisées. Que vous développiez en interne ou utilisiez une solution externe, l'intégration des passkeys est une mise à niveau majeure pour la sécurité et l'ergonomie.

Google a constaté que mettre en avant la facilité d'utilisation ou la rapidité est une approche qui résonne et fonctionne. Les gens se plaignent généralement de devoir se connecter, donc tout ce qui rend le processus plus simple et plus rapide est un avantage.

En plus de ces avantages en matière de sécurité, il existe un énorme potentiel d'économies de coûts opérationnels avec les passkeys. Vous pouvez réduire le nombre de SMS OTP envoyés aux utilisateurs, ce qui peut représenter une somme considérable pour de grandes bases d'utilisateurs. De plus, la charge que les récupérations de mot de passe et de MFA font peser sur vos équipes de support client est également un facteur de coût qui peut être éliminé.

Par ailleurs, les passkeys améliorent les taux de réussite et les temps de connexion pour les utilisateurs, ce qui se traduit finalement par de meilleurs taux de conversion, un moteur majeur de croissance du chiffre d'affaires dans des secteurs comme l'e-commerce, la vente au détail ou le voyage.

3. Le parcours vers le sans mot de passe : Comment les passkeys entrent-ils en jeu ?#

L'objectif final pour de nombreuses organisations qui envisagent d'introduire les passkeys est de passer entièrement au sans mot de passe. Pour atteindre cet objectif, il y a généralement quatre phases à accomplir. La vitesse à laquelle ces phases progressent dépend en grande partie des capacités techniques de l'organisation, des schémas de connexion et de la base d'utilisateurs. Dans certains cas, des facteurs externes tels que la pression publique pour introduire une authentification plus sécurisée ou des contraintes financières peuvent également jouer un rôle.

Passons en revue ces quatre phases et décrivons-les, car l'implémentation des passkeys n'est qu'une étape pour assurer le succès d'un projet de passkeys.

3.1 Phase 1 : Intégrer les passkeys#

La première étape de la transition vers un système entièrement sans mot de passe consiste à intégrer les passkeys comme méthode de connexion. À ce stade, les mots de passe et d'autres méthodes d'authentification restent en place comme solutions de secours pour garantir que les utilisateurs puissent toujours accéder à leurs comptes s'ils n'ont pas encore adopté les passkeys. Une intégration réussie nécessite une compatibilité transparente avec les flux de connexion et les politiques de sécurité existants. Les organisations doivent se concentrer sur une création de passkey simple, en veillant à ce que les utilisateurs, qu'ils soient techniques ou non, puissent adopter la nouvelle méthode d'authentification sans friction.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

Corbado proved to be a trusted partner. Their hands-on, 24/7 support and on-site assistance enabled a seamless integration into VicRoads' complex systems, offering passkeys to 5 million users.

Les entreprises font confiance à Corbado pour protéger leurs utilisateurs et rendre les connexions plus fluides avec les passkeys. Obtenez votre consultation gratuite sur les passkeys dès maintenant.

Obtenez une consultation gratuite

3.2 Phase 2 : Augmenter l'adoption des passkeys#

Une fois les passkeys intégrés, le prochain défi est de stimuler l'adoption des passkeys par les utilisateurs. De nombreuses organisations sous-estiment l'importance de cette phase, mais sans une adoption généralisée par les utilisateurs, un projet de passkeys est susceptible d'échouer. L'objectif est d'encourager le plus grand nombre possible d'utilisateurs à créer et à utiliser des passkeys, en en faisant idéalement la méthode de connexion par défaut.

Les tactiques clés pour augmenter l'adoption incluent l'éducation proactive des utilisateurs, des incitations dans l'interface utilisateur (UI nudges) qui promeuvent la création de passkeys et des programmes d'incentive qui récompensent les utilisateurs qui changent de méthode. Les organisations devraient fixer un seuil d'adoption critique, tel que 50 à 80 % des utilisateurs actifs utilisant des passkeys, avant de passer à la phase suivante. Pour une compréhension plus approfondie de l'importance de l'adoption, consultez notre article dédié sur la manière dont de faibles taux d'adoption peuvent compromettre votre projet de passkeys.

3.3 Phase 3 : Supprimer les mots de passe#

À mesure que l'adoption des passkeys atteint une masse critique, les organisations peuvent commencer à supprimer progressivement les mots de passe. Cependant, supprimer les mots de passe trop tôt ou sans une planification minutieuse peut entraîner des problèmes d'ergonomie et une augmentation des demandes de support. Une approche progressive est recommandée :

Commencez par supprimer les mots de passe des comptes où les utilisateurs s'authentifient de manière cohérente avec des passkeys.
Proposez la suppression du mot de passe comme une option dans les paramètres du compte pour les premiers adoptants.
Utilisez des informations basées sur les données pour identifier les utilisateurs prêts à passer entièrement au sans mot de passe. Par exemple, les utilisateurs ayant plusieurs passkeys enregistrés sur différents appareils peuvent être prioritaires pour la suppression du mot de passe.
Communiquez de manière proactive les avantages de la suppression du mot de passe pour renforcer la confiance des utilisateurs.

En guidant stratégiquement les utilisateurs vers une authentification entièrement sans mot de passe, les organisations peuvent maximiser la sécurité sans perturber l'expérience utilisateur.

3.4 Phase 4 : Automatiser la récupération de compte#

Une fois les mots de passe supprimés, les mécanismes de récupération de compte doivent être robustes et sécurisés. Les méthodes de récupération traditionnelles reposent souvent sur des interventions manuelles, telles que des tickets de support ou des réinitialisations par e-mail, ce qui peut introduire des risques de sécurité et des coûts opérationnels. Les organisations doivent mettre en œuvre des solutions de récupération de compte modernes et en libre-service qui maintiennent la sécurité tout en améliorant l'expérience utilisateur.

Les éléments clés de la récupération de compte automatisée incluent :

Vérifications de vivacité (liveness checks) : Empêchent les prises de contrôle de compte non autorisées en s'assurant que l'utilisateur est physiquement présent.
Vérification d'identité : Tirez parti des pièces d'identité émises par le gouvernement et de la vérification biométrique pour confirmer l'identité.
Passkeys de secours : Permettent aux utilisateurs de récupérer leurs comptes en utilisant des passkeys de sauvegarde stockés sur leurs autres appareils.

De nombreuses organisations investissent déjà dans des processus de récupération automatisés indépendamment de leur transition vers le sans mot de passe pour réduire les coûts et améliorer l'ergonomie. Cependant, dans un écosystème axé sur les passkeys, ces mécanismes deviennent encore plus critiques pour maintenir la sécurité et réduire les frictions.

Sur la base de ces quatre phases, nous allons maintenant essayer de vous aider à évaluer la décision d'acheter ou de développer. Il est donc très important pour le succès à long terme de votre projet de passkeys d'avoir toutes les phases à l'esprit et pas seulement d'intégrer les passkeys (cela peut toujours être un objectif, mais vous laisseriez alors le plein potentiel des passkeys inexploité).

4. Comment déterminer la bonne approche pour les passkeys#

Le choix entre une solution de passkeys DIY et une solution externe dépend des ressources techniques de votre entreprise, de vos priorités en matière de sécurité, de la taille du déploiement et de votre stratégie de passkeys à long terme. Dans la section suivante, nous allons décomposer les aspects clés pour vous aider à prendre la meilleure décision.

Le tableau suivant présente différents critères d'évaluation que vous devez examiner. En fonction de l'affirmation vers laquelle vous penchez le plus, un certain nombre de points sont attribués.

Comment utiliser la matrice d'évaluation :

Pour chaque critère, choisissez si votre entreprise a besoin d'une solution plus simple ou plus élaborée.

Attribuez 1 point pour chaque réponse où la complexité dans votre cas est la plus faible et correspond davantage à la description de gauche.
Attribuez 5 points pour chaque catégorie où votre réponse correspond davantage à la description de la plus haute complexité à droite.
Si vous n'êtes pas sûr, utilisez 3 points comme option neutre.

Téléchargez le guide complet : Acheter ou Développer une solution de Passkeys#

Téléchargez gratuitement le guide complet Acheter ou Développer une solution de Passkeys et accédez à tous les critères d'évaluation.

Acheter ou développer une solution de passkeys ?

Téléchargez le guide complet : Acheter ou Développer

Téléchargez gratuitement le guide Acheter ou Développer

5. Comment utiliser ce guide efficacement#

Lorsque vous décidez de développer ou d'acheter une solution de passkeys, il est important de considérer l'ensemble du processus, et non une seule phase du déploiement. Même si votre priorité à court terme est de proposer les passkeys en tant que MVP, vous devez anticiper les implications à plus long terme, en particulier stimuler l'adoption. Voici comment nous recommandons d'utiliser ce guide et d'interpréter vos résultats, en insistant sur le fait que l'adoption est plus importante que presque tout autre facteur.

5.1 Focalisez-vous sur l'adoption comme facteur de succès n°1#

Peu importe à quel point votre solution de passkeys est avancée, si les utilisateurs ne l'adoptent pas en créant des passkeys et en les utilisant pour se connecter, l'ensemble du projet est en péril. D'après notre expérience, les organisations sous-estiment souvent l'effort nécessaire pour faire abandonner les mots de passe aux utilisateurs. Même si vous implémentez les passkeys de manière transparente sur le plan technique, une faible adoption entraînera :

Une dépendance persistante aux mots de passe, annulant les avantages des passkeys en matière de sécurité.
Un ROI minimal, car les économies de coûts (moins de réinitialisations de mot de passe, réduction des SMS OTP) dépendent d'une utilisation significative des passkeys pour la connexion.
Une expérience utilisateur fracturée, si la plupart des connexions se font encore via des méthodes traditionnelles et que seule une petite partie utilise les passkeys.

Une adoption élevée, parfois de 50 % ou même plus de 80 % de votre base d'utilisateurs, est généralement requise avant de pouvoir progresser de manière significative vers la réduction ou la suppression totale des mots de passe. Des organisations comme Google et Amazon fixent des objectifs d'adoption explicites et mènent systématiquement des tests A/B, des campagnes d'éducation des utilisateurs et des incitations dans l'interface utilisateur pour s'assurer que les passkeys sont largement adoptés. Cet effort concentré sur l'adoption n'est pas facultatif ; c'est ce qui transforme votre déploiement de passkeys d'une simple fonctionnalité en un avantage concurrentiel tangible.

5.2 Utilisez le guide de manière globale ou par phases#

Ce guide est conçu pour vous aider à prendre des décisions éclairées sur les implémentations de passkeys à chaque étape du parcours :

Phase 1 (Intégrer les passkeys) : Si vous envisagez simplement d'adopter les passkeys et comment les intégrer, concentrez-vous sur les critères Développer ou Acheter pour l'intégration des passkeys.
Phase 2 (Augmenter l'adoption) : Si vous voulez que les passkeys soient plus qu'une fonctionnalité, planifiez tôt pour stimuler l'adoption par les utilisateurs - même pour un MVP, car cela nécessite un investissement technologique supplémentaire, souvent bien plus important que l'implémentation initiale.
Phase 3 (Supprimer les mots de passe) : Si l'élimination des mots de passe est un objectif stratégique à long terme, assurez-vous que votre architecture et vos flux utilisateurs sont conçus en tenant compte de cette étape éventuelle.
Phase 4 (Automatiser la récupération de compte) : Même si vous n'êtes pas prêt à passer entièrement au sans mot de passe aujourd'hui, assurez-vous que votre approche des passkeys peut évoluer vers une récupération robuste et transparente pour éviter de futurs blocages.

Parmi celles-ci, la Phase 2 (Augmenter l'adoption) est la plus importante. Vous pouvez évaluer chaque section séparément, mais gardez à l'esprit que votre succès à long terme et votre ROI dépendent souvent de la manière dont vous prenez l'adoption au sérieux dès le départ.

5.3 Impliquez les parties prenantes clés et alignez-vous sur les objectifs d'adoption#

Si vous êtes au début de la décision d'implémenter les passkeys, commencez par la première section de la matrice d'évaluation (intégration des passkeys) et remplissez-la avec la direction, l'informatique, les chefs de produit et d'autres décideurs clés. Posez-vous les questions suivantes :

Quel est notre taux de connexion par passkey souhaité ? Est-ce que 5 % suffisent pour prouver la faisabilité ou avons-nous besoin de 50 à 80 % avant de considérer les passkeys comme un succès ?
Avons-nous le budget et l'adhésion de la direction pour mener des tests A/B sur plusieurs mois, lancer des campagnes d'optimisation, créer du matériel éducatif et affiner continuellement les flux utilisateurs pour que les utilisateurs comprennent et veuillent passer aux passkeys ? Avons-nous une capacité d'ingénierie suffisante pour implémenter tous les rapports, analyses et tests nécessaires ? Pouvons-nous publier des mises à jour assez fréquemment pour atteindre ces objectifs ?
Quelle est la vision à long terme ? Visons-nous la suppression des mots de passe ou simplement une alternative ?

Répondre à ces questions dès le départ garantit que votre projet de passkeys ne devienne pas une impasse. Les organisations qui ne planifient pas l'adoption se retrouvent souvent coincées avec les mots de passe pendant des années, sapant toute la stratégie de sécurité et d'expérience utilisateur.

5.4 Plus vous vous éloignez du “neutre”, plus un fournisseur est judicieux#

Tout au long de la matrice, chaque critère d'évaluation peut vous placer n'importe où entre la complexité la plus faible (1) et la complexité la plus élevée (5). Plus vos réponses se déplacent vers et au-delà de la zone neutre (3), plus le recours à un fournisseur de passkeys spécialisé est justifié :

Des exigences de haute complexité - telles que des méthodes de secours avancées, une conformité stricte, des analyses approfondies et une expérience utilisateur multi-appareils - multiplient votre charge d'ingénierie et de maintenance.
Un fort accent sur l'adoption - atteindre une adoption élevée des passkeys rapidement ou supprimer les mots de passe nécessite généralement des flux utilisateurs bien testés, une télémétrie détaillée et des incitations structurées.

Ces facteurs peuvent submerger les équipes internes, tant sur le plan technique qu'organisationnel. Une solution de passkeys gérée peut souvent fournir des meilleures pratiques éprouvées, des mises à jour rapides et une expertise du monde réel pour accélérer l'adoption beaucoup plus rapidement qu'une approche DIY.

5.5. La perspective de Corbado : Quand un fournisseur est le meilleur choix#

En tant que spécialiste des passkeys, chez Corbado, nous avons un point de vue bien arrêté. Si les passkeys sont sur votre feuille de route et que vous souhaitez une implémentation de pointe qui stimule activement l'adoption, Corbado Connect peut vous aider à gérer les complexités à grande échelle. Voici pourquoi :

L'adoption est intégrée à la solution : Notre plateforme est conçue pour maximiser l'adhésion des utilisateurs grâce à des incitations intelligentes, des analyses et des tests A/B continus qui génèrent également des économies de coûts.

Prochaines étapes :

Remplissez chaque section pertinente de la matrice d'évaluation - en tenant compte des objectifs immédiats et à long terme.
Priorisez l'adoption dans votre prise de décision - alignez-vous avec les parties prenantes sur des objectifs d'adoption explicites et les ressources pour les atteindre.
Comparez le TCO des solutions internes par rapport à celles des fournisseurs une fois que vous comprenez votre complexité et vos ambitions d'adoption, et suivez votre processus interne pour évaluer l'achat ou le développement.

Consultez des experts en passkeys (comme Corbado) si vos objectifs stratégiques pointent vers une plateforme entièrement gérée qui gère efficacement les défis techniques et d'adoption.

En abordant les passkeys de manière globale et en faisant de l'adoption l'un des objectifs clés, vous obtiendrez les meilleurs résultats. Cela signifie une sécurité renforcée, des connexions simplifiées et une véritable voie vers un avenir sans mot de passe. Si vous souhaitez en savoir plus sur Corbado Connect et comment nous aidons nos clients à atteindre une adoption élevée des passkeys, nous sommes là pour en discuter.

6. Comment mesurer le succès d'un déploiement de passkeys ?#

Maintenant que nous avons aidé à déterminer la bonne approche pour répondre à la question “Acheter ou Développer ?”, nous analysons comment évaluer le succès d'un déploiement de passkeys. Pour ce faire, nous définissons les KPI d'entrée et de sortie d'un projet de passkeys.

6.1 Quels sont les KPI d'entrée importants pour les passkeys ?#

Les KPI d'entrée aident à suivre l'adoption précoce des passkeys et à vérifier si les conditions nécessaires à une utilisation généralisée sont mises en place. Ces indicateurs précèdent le comportement de connexion réel mais sont cruciaux pour permettre une adoption significative et optimiser le déploiement.

KPI	Définition	Pourquoi c'est important	Comment le mesurer	Référence
Taux d'acceptation des passkeys	Pourcentage d'utilisateurs qui, après s'être connectés avec succès (post-connexion), reçoivent une “nudge” (une suggestion ou une incitation à configurer un passkey) et choisissent de créer un passkey. Ce KPI mesure spécifiquement la réactivité des utilisateurs à ces suggestions post-connexion, soulignant l'efficacité du message de la nudge pour stimuler la création de passkeys. Cette approche est considérée comme à la pointe de la technologie car les utilisateurs ne créent généralement pas de passkeys de manière proactive via les paramètres de leur compte ou de leurs identifiants. Au lieu de cela, les passkeys sont adoptés avec le plus de succès lorsque les utilisateurs sont sollicités directement après la connexion, faisant des nudges le principal moteur de la création de passkeys. Assurez-vous de différencier la toute première nudge des suivantes, car les taux diminuent.	Une acceptation élevée indique une persuasion réussie de l'utilisateur et une bonne conception de la nudge. Des taux bas signalent des frictions, un message peu clair ou une hésitation de l'utilisateur.	Formule : (nombre d'utilisateurs qui terminent la création du passkey après la nudge) ÷ (nombre d'utilisateurs exposés à la nudge). Segmentez par OS/navigateur/appareil.	50 %-75 % à la première nudge, jusqu'à 85 % sur plusieurs nudges sur mobile. Plus bas sur ordinateur. Dépend fortement de la formulation et de l'implémentation.
Taux de réussite de la création de passkeys	Proportion d'utilisateurs qui commencent la cérémonie d'enregistrement d'un passkey mais la terminent avec succès (c'est-à-dire sans abandon).	Montre combien d'utilisateurs abandonnent en cours de création en raison d'une UX déroutante, de problèmes techniques ou d'une hésitation de dernière minute.	Formule : (nombre d'enregistrements de passkeys terminés) ÷ (nombre de tentatives d'enregistrement). Analysez les points d'échec par OS/navigateur/appareil.	Proche de 100 %.
Nombre de passkeys créés	Nombre cumulé de nouveaux passkeys créés sur une période donnée (quotidienne, hebdomadaire, mensuelle).	Une mesure brute de l'adoption souvent considérée comme un semi-KPI de sortie. Reflète le volume d'utilisation des passkeys et les futurs changements potentiels de connexion au détriment des mots de passe.	Formule : Somme de tous les nouveaux passkeys enregistrés par OS, navigateur, catégories d'appareils. Surveillez les tendances de croissance dans le temps. Le nombre absolu n'a pas d'implication, il dépend de la taille de la base d'utilisateurs.	Une quantité substantielle par jour dès que le déploiement est complet.

Ces KPI d'entrée servent d'indicateurs avancés de l'adoption future des passkeys et permettent aux organisations d'affiner l'éducation des utilisateurs, les flux UX et l'implémentation technique.

6.2 Quels sont les KPI / OKR de sortie importants pour les passkeys ?#

Les KPI de sortie (OKR) mesurent le succès réel de l'adoption des passkeys en évaluant le comportement des utilisateurs, les améliorations opérationnelles et l'impact commercial. Ces indicateurs reflètent l'efficacité réelle d'un déploiement de passkeys. Le taux de connexion par passkey est un KPI de sortie essentiel car il reflète directement l'adoption et l'utilisation réelles des passkeys. Un taux de connexion par passkey en hausse indique une intégration réussie et une préférence continue des utilisateurs pour les passkeys par rapport aux méthodes d'authentification héritées.

KPI	Définition	Pourquoi c'est important	Comment le mesurer	Référence
Taux d'activation des utilisateurs	Parmi tous les utilisateurs qui ont vu au moins une nudge (il peut s'agir de plusieurs suggestions au fil du temps), le pourcentage de ceux qui ont finalement créé au moins un passkey.	Mesure le succès global de l'intégration des passkeys sur plusieurs nudges. Les utilisateurs peuvent rejeter la première nudge mais se convertir plus tard.	Formule : (nombre d'utilisateurs uniques ayant créé ≥1 passkey) ÷ (nombre d'utilisateurs uniques ayant vu au moins une nudge). Segmentez par OS, navigateur, appareil pour voir qui adopte finalement les passkeys. Une fois le déploiement développé, les passkeys supprimés doivent également être pris en compte ici.	Plus de 50 % en 12 mois. Le taux de connexion par passkey converge vers le taux d'activation des utilisateurs. Cela dépendra de la composition de vos utilisateurs.
Taux de connexion par passkey	Le pourcentage de tous les événements de connexion qui sont effectués à l'aide d'un passkey plutôt qu'une méthode héritée (mot de passe, SMS OTP, etc.).	Démontre la fréquence d'utilisation réelle des passkeys. Un taux de connexion constamment bas indique que les utilisateurs préfèrent ou reviennent aux mots de passe malgré la création initiale de passkeys, reflète de faibles taux d'activation (car un taux de connexion élevé ne peut se produire que si l'activation elle-même est élevée), ou résulte d'une implémentation de connexion sous-optimale qui n'exploite pas automatiquement les passkeys existants.	Formule : (nombre de connexions par passkey) ÷ (Total des connexions). Segmentez par OS/navigateur/appareil ou groupe d'utilisateurs. Cela aide à localiser les plateformes ou les données démographiques problématiques avec une faible utilisation des passkeys.	Plus de 20 % en quelques semaines, plus de 50 % en 12 mois (dépend fortement de la manière dont vous l'implémentez).
Taux de réussite de la connexion par passkey	Proportion des tentatives de connexion par passkey qui se terminent par un succès sans revenir à une solution de secours.	Révèle des frictions dans le flux de passkey. Un taux plus bas peut indiquer une confusion de l'utilisateur, des contraintes d'environnement ou des problèmes de compatibilité des appareils menant à une solution de secours. Un taux non à 100 % est attendu, car les utilisateurs changent d'appareil ou tentent de se connecter depuis des appareils non connectés. Dépend fortement du comportement de l'utilisateur et des appareils utilisés.	Formule : (nombre de connexions par passkey réussies) ÷ (nombre de tentatives de connexion par passkey). Suivez les tentatives partielles, où l'utilisateur abandonne le passkey à mi-chemin et passe au mot de passe.	Plus de 95 % sur le web mobile. Plus de 99 % sur les applications natives. Les taux de connexion sur ordinateur dépendent du nombre de vos utilisateurs ayant plusieurs appareils et de l'endroit où ils s'enregistrent en premier.
Temps de connexion par passkey vs. Temps de connexion hérité	Comparaison du temps moyen d'authentification via les passkeys par rapport aux mots de passe (ou autres méthodes héritées), du moment où l'utilisateur initie la connexion jusqu'à sa réussite.	Des connexions par passkey plus rapides sont corrélées à une plus grande satisfaction des utilisateurs et à une utilisation durable.	Enregistrez les horodatages de début et de succès de chaque tentative de connexion. Calculez le temps de connexion moyen par passkey par rapport au temps de connexion moyen hérité. Segmentez par OS/navigateur/appareil pour des informations plus approfondies.	Gains de vitesse de 3x à 5x. Par rapport à une MFA existante (PW+SMS).
Taux de recours à la solution de secours (Fallback Rate)	Fréquence à laquelle les utilisateurs reviennent aux mots de passe ou à une autre méthode non-passkey lors d'une tentative de connexion initialement commencée avec un passkey.	Montre une dépendance continue aux flux hérités, possiblement due à une faible fiabilité des passkeys ou à un manque de confort de l'utilisateur.	Formule : (nombre d'événements de secours) ÷ (nombre de tentatives de connexion par passkey). Corrélez les données de secours avec des enquêtes auprès des utilisateurs ou des tickets de support pour identifier les causes profondes.	Ce KPI est essentiellement l'inverse du taux de connexion par passkey et dépend de votre implémentation.

Il est important d'optimiser principalement pour le succès de la connexion par passkey et le taux de connexion par passkey pour garantir une expérience utilisateur sans friction, tout en travaillant simultanément à augmenter les taux d'activation des utilisateurs - mais seulement lorsque le taux de succès de la connexion est suffisamment élevé pour éviter d'introduire de la frustration chez l'utilisateur. De plus, le suivi de ces KPI par différents segments (tels que l'OS, le navigateur et l'appareil) et des cas d'utilisation spécifiques (par exemple, les connexions inter-appareils) peut fournir des informations plus approfondies sur les schémas d'adoption et les points de friction potentiels.

6.3 Comment enregistrer les événements nécessaires pour les métriques de passkeys#

Mesurer avec précision les KPI d'entrée (par ex. acceptation, création) et de sortie (par ex. taux de connexion, utilisation de secours) nécessite de collecter des données de trois sources principales :

Données d'événements frontend
Magasin de passkeys / d'identifiants
Journaux d'authentification héritée et de secours

6.3.1 Données d'événements frontend#

Pour calculer des métriques comme le Taux d'acceptation des passkeys ou le Taux de réussite de la création de passkeys, vous devez détecter combien d'utilisateurs voient une nudge post-connexion, combien cliquent sur “Oui, créer un passkey” et s'ils terminent réellement la création du passkey. Cela nécessite un suivi d'événements JavaScript (ou mobile natif) pour capturer :

Quand et si la nudge est affichée (première fois vs. fois suivantes)
Combien de temps ils mettent pour répondre à la nudge
S'ils abandonnent la cérémonie de création du passkey une ou plusieurs fois

Vous aurez également besoin de l'analyse de l'agent utilisateur ou des client hints pour lier les taux d'acceptation à des versions spécifiques d'OS / de navigateur afin de pouvoir détecter des parcours défectueux spécifiques.

6.3.2 Magasin de passkeys / d'identifiants#

Après qu'un utilisateur a initié l'enregistrement sur le frontend, le serveur doit confirmer si un nouveau passkey a bien été stocké. Vous aurez besoin d'un accès à la base de données ou à l'API d'un fournisseur d'identité externe qui enregistre l'événement de création de chaque identifiant. Ce référentiel vous aide à compter combien de passkeys existent par utilisateur et à suivre le résultat final (succès ou échec), garantissant que vous savez précisément quelles tentatives se sont terminées par des enregistrements complets.

6.3.3 Journaux d'authentification héritée et de secours#

Pour des métriques comme le Taux de recours à la solution de secours, vous devez examiner vos journaux et processus d'authentification actuels. En unifiant ces journaux avec les événements frontend, vous voyez si un utilisateur a commencé une connexion par passkey, a reçu une erreur et est passé à la connexion de secours (par ex. SMS ou mot de passe).

Enfin, la mesure des KPI basés sur le temps tels que le Temps de connexion par passkey vs. le Temps de connexion hérité repose sur les horodatages du client et du serveur. Comme de nombreuses organisations ne journalisent que les connexions réussies, vous devez ajouter une instrumentation pour les flux de passkeys partiels ou échoués afin de vraiment évaluer la friction et le recours aux solutions de secours. L'intégration de ces trois sources de données, tout en respectant la vie privée et les contraintes réglementaires, est souvent plus complexe que prévu et est un autre facteur qui conduit certaines équipes à adopter des plateformes de passkeys spécialisées qui fournissent des analyses et un suivi d'événements intégrés.

6.3.4 L'approche intégrée de Corbado : Le Process Mining de l'authentification#

Les composants de Corbado Connect collectent implicitement tous les points de données décrits (des centaines de différents) en générant automatiquement un processus unique pour chaque utilisateur qui commence un processus d'authentification. Grâce à une intégration transparente, Corbado collecte également les métriques d'authentification de votre solution existante. Cette vue holistique identifie précisément les améliorations pour les utilisateurs, fournissant des informations complètes sur tous les KPI essentiels des passkeys sans effort supplémentaire de votre part.

6.4 Quels sont les autres KPI / OKR de sortie importants qui devraient être affectés ?#

De plus, les effets suivants sur les KPI de sortie devraient également apparaître après un déploiement réussi de passkeys et sont la plupart du temps déjà collectés au sein de l'entreprise :

Métriques opérationnelles et de réduction des coûts

Réduction de l'utilisation des SMS OTP – Nombre de SMS OTP économisés grâce à l'authentification par passkey (économies de coûts directes).
Réduction des demandes de réinitialisation de mot de passe – Diminution des interactions avec le service d'assistance liées aux mots de passe oubliés.
Réduction des tickets de support client – Baisse du volume des problèmes de service client liés à l'authentification.
Réduction du volume d'appels au support – Moins d'appels entrants liés aux problèmes d'accès au compte.

Métriques d'impact commercial et UX

Taux de rétention des utilisateurs – Pourcentage d'utilisateurs qui continuent de s'authentifier après la première connexion.
Taux de conversion – Fréquence à laquelle les utilisateurs finalisent des transactions après l'authentification.
Taux d'abandon dans les tunnels de connexion – Si les passkeys réduisent le nombre d'utilisateurs abandonnant les tentatives de connexion.

En suivant spécifiquement les KPI d'entrée et de sortie des passkeys et en les reliant à d'autres données, les organisations peuvent quantifier l'impact de leur déploiement de passkeys et apporter des améliorations basées sur les données pour maximiser l'adoption, réduire les coûts et renforcer la sécurité.

7. Recommandations#

Le choix de la bonne solution de passkeys dépend de vos défis spécifiques, de vos exigences de sécurité et de vos considérations de coût. Voici des recommandations clés pour les décisions d'achat ou de développement dans différents secteurs.

7.1 Recommandation pour les passkeys dans la banque et les services financiers#

Considérations clés :

La conformité réglementaire (par ex. PSD2, SOC 2, ISO 27001, RGPD) exige des mesures de sécurité strictes dans l'authentification par passkey.
La comparaison des coûts des passkeys est cruciale, car les banques sous-estiment souvent la complexité et la maintenance à long terme des solutions internes.
Une authentification sécurisée est essentielle pour réduire la fraude par prise de contrôle de compte et le phishing.

Recommandation : La plupart des banques et institutions financières devraient s'appuyer sur une solution de fournisseur de passkeys plutôt que de développer en interne, car la gestion de l'infrastructure de passkeys en interne introduit des complexités cachées qui dépassent l'expertise informatique traditionnelle. L'implémentation de l'authentification par passkey à grande échelle nécessite des optimisations et des mises à jour continues, la gestion de la compatibilité WebAuthn et une intégration transparente avec les systèmes bancaires hérités - tout ce que les fournisseurs de passkeys gèrent déjà.

Des banques comme Ubank, Revolut et Finom sont à la pointe de l'adoption des passkeys, reconnaissant le potentiel de la technologie pour améliorer la sécurité tout en améliorant l'expérience utilisateur. L'analyse du ROI des passkeys favorise souvent l'achat d'une solution de passkeys plutôt que d'investir dans la maintenance et les mises à jour continues, avec des implémentations montrant des réductions significatives des tentatives de fraude et des coûts de support liés à l'authentification.

Exemples : Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

7.2 Recommandation pour les passkeys dans le secteur de la santé#

Considérations clés :

La conformité HIPAA et RGPD exige une sécurité d'authentification stricte dans l'adoption des passkeys.
Les défis de l'implémentation des passkeys incluent l'équilibre entre la sécurité et la facilité d'utilisation pour les patients, le personnel médical et les administrateurs informatiques des hôpitaux.
De nombreux systèmes d'authentification dans le secteur de la santé reposent encore sur une infrastructure héritée, ce qui rend l'intégration des passkeys plus complexe.

Recommandation : Une solution de fournisseur de passkeys est le moyen le plus efficace de répondre aux exigences de conformité tout en simplifiant l'authentification. Les fournisseurs de passkeys gèrent les correctifs de sécurité, les mises à jour de conformité et la fiabilité de l'authentification, réduisant ainsi la charge des équipes informatiques.

Exemples : CVS Health, Caremark, Helsana, NHS, Swica

7.3 Recommandation pour les passkeys dans l'e-commerce et la vente au détail#

Considérations clés :

L'optimisation du taux de conversion (CRO) est essentielle pour l'entreprise - la friction de l'authentification a un impact direct sur les revenus.
Les scénarios multi-appareils doivent fonctionner de manière transparente (les utilisateurs naviguent sur mobile mais finalisent leur achat sur ordinateur).
Les erreurs d'authentification augmentent directement les taux d'abandon de panier, ce qui rend les flux de connexion optimisés pour l'UX essentiels.

Recommandation : Les plateformes d'e-commerce bénéficient le plus d'un fournisseur d'implémentation de passkeys offrant des taux d'adoption élevés. Des plateformes majeures comme Amazon et Shopify ont implémenté l'authentification par passkey, démontrant l'adoption croissante de la technologie dans l'e-commerce. Les données du monde réel montrent que plus de 27 % des connexions initiales par mot de passe échouent, tandis que l'authentification basée sur les passkeys peut atteindre des taux de connexion réussie de 95 à 97 %, comme le montrent de précédentes adoptions. L'analyse du ROI des passkeys montre que des taux de conversion plus élevés et des pertes dues à la fraude plus faibles justifient rapidement l'investissement.

Amazon a récemment déclaré avoir fixé un objectif ambitieux de 100 % d'adoption des passkeys et l'élimination complète des mots de passe.

Google a également découvert que les utilisateurs en essai qui interagissent avec les passkeys sont 20 % plus susceptibles de se convertir en clients payants que ceux qui ne le font pas.

Exemples : KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

7.4 Recommandation pour les passkeys dans le voyage et l'hôtellerie#

Considérations clés :

L'authentification inter-appareils est essentielle, car les utilisateurs réservent des voyages sur un appareil et s'enregistrent sur un autre.
Les fournisseurs spécialisés en passkeys doivent garantir des connexions rapides et sécurisées pour des réservations, des enregistrements et une gestion de compte pratiques.
La prévention de la fraude est une priorité, car les plateformes de voyage gèrent des transactions de grande valeur.

Recommandation : La plupart des entreprises de voyage devraient implémenter des solutions de passkeys pour améliorer la sécurité et l'expérience utilisateur. Des entreprises de premier plan comme Kayak et de grandes compagnies aériennes utilisent déjà l'authentification par passkey pour améliorer leur expérience utilisateur. Les solutions pré-construites offrent une détection de fraude plus forte, des expériences de connexion transparentes et un support multi-appareils instantané. Le secteur de l'hôtellerie bénéficie particulièrement de la réduction des temps d'enregistrement et de l'amélioration de la sécurité grâce à l'implémentation des passkeys, garantissant une authentification fluide sur tous les points de contact (applications, kiosques, web et plateformes partenaires).

Exemples : Air New Zealand, Bolt, Grab, Uber, Hyatt

7.5 Recommandation pour les passkeys dans l'assurance#

Considérations clés :

Les coûts d'implémentation des passkeys doivent s'aligner sur les besoins de conformité et les améliorations de l'expérience utilisateur.
De nombreux clients d'assurance ne sont pas très à l'aise avec la technologie, donc une expérience utilisateur sur toutes sortes d'appareils et de navigateurs est indispensable.
L'intégration des passkeys avec la vérification d'identité est souvent requise pour la gestion des polices et le traitement des sinistres.

Recommandation : Une solution de passkeys externe est la mieux adaptée pour un déploiement rapide et la conformité réglementaire. Les fournisseurs d'assurance signalent une réduction significative des tickets de support liés à l'authentification après l'implémentation des passkeys. Un fournisseur d'implémentation de passkeys avec des flux d'authentification personnalisables et une vérification d'identité intégrée garantit la sécurité tout en gardant les connexions des clients simples. L'analyse du ROI des passkeys suggère que la réduction des réinitialisations de mot de passe et des pertes dues à la fraude compense les coûts du fournisseur.

Exemples : Branch

7.6 Recommandation pour les passkeys dans le gouvernement et les services publics#

Considérations clés :

Les normes de sécurité et les exigences de conformité les plus élevées (par ex., NIST, le cadre Essential Eight exige une MFA résistante au phishing).
Besoins de déploiement à grande échelle pour des populations d'utilisateurs diverses avec des compétences techniques variées.
Exigences d'intégration avec les systèmes de vérification d'identité gouvernementaux existants et l'infrastructure héritée.

Recommandation : Pour les agences gouvernementales, une solution de passkeys spécialisée qui répond à des normes de sécurité strictes tout en garantissant l'accessibilité est essentielle. Le succès de l'implémentation chez VicRoads démontre que les organisations gouvernementales bénéficient le plus des solutions de passkeys externes qui gèrent automatiquement les exigences de conformité et les mises à jour de sécurité. Par conséquent, choisissez un fournisseur d'implémentation de passkeys qui offre une sécurité de niveau entreprise, prend en charge l'authentification multi-appareils et fournit des flux d'authentification adaptative pour accommoder tous les citoyens.

Exemple : VicRoads, myGov, État du Michigan

7.7 Recommandation pour les passkeys dans les télécommunications et les services publics#

Considérations clés :

L'évolutivité et la fiabilité sont essentielles, car les fournisseurs de télécommunications et de services publics gèrent souvent des millions d'utilisateurs dans divers segments de clientèle, nécessitant une authentification hautement disponible et tolérante aux pannes.
Le support multi-appareils et multi-plateformes est essentiel, car les utilisateurs accèdent à leurs comptes via des applications mobiles ou des portails web. L'authentification par passkey transparente doit fonctionner sur tous les points de contact client.
Le support des systèmes d'authentification hérités est souvent nécessaire, car les fournisseurs de télécommunications et de services publics peuvent avoir besoin d'intégrer les passkeys dans les systèmes IAM et les plateformes d'identité client existants sans perturber les flux d'authentification actuels.
La prévention de la fraude et la sécurité des comptes sont des priorités absolues, en particulier pour la fraude par échange de SIM, le vol d'identité et l'accès non autorisé aux comptes. Les passkeys peuvent réduire considérablement les attaques de phishing et les risques de credential stuffing.

Recommandation : Pour les fournisseurs de télécommunications et de services publics, l'adoption d'une solution de passkeys externe est l'approche recommandée. Compte tenu de l'échelle, de la complexité et des exigences de sécurité de ces industries, un fournisseur de passkeys géré garantit la conformité, la haute disponibilité et une intégration transparente avec l'infrastructure d'authentification existante. Les géants des télécommunications et les fournisseurs de services publics axés sur le numérique adoptent déjà les passkeys dans le cadre de leurs efforts de modernisation de la sécurité pour réduire la fraude et améliorer l'expérience utilisateur. De plus, l'externalisation de l'implémentation des passkeys réduit le coût total de possession (TCO) par rapport au développement en interne, car la maintenance continue, les mises à jour de sécurité et la conformité réglementaire sont gérées par le fournisseur.

Exemple : Deutsche Telekom, Telstra, SK Telecom

7.8 Recommandation pour les passkeys dans le B2B SaaS#

Considérations clés :

L'authentification multi-locataire est essentielle pour le SaaS B2B, nécessitant une intégration de passkeys évolutive sur différents systèmes IAM.
Les entreprises s'attendent au SSO (OIDC/SAML), par conséquent une intégration transparente avec les fournisseurs d'identité est essentielle pour l'entreprise.
Les coûts d'implémentation des passkeys doivent être équilibrés par rapport à d'autres investissements en sécurité, tels que l'authentification multi-facteurs (MFA) et les modèles de sécurité zero-trust.

Recommandation : Pour la plupart des fournisseurs de SaaS B2B, une implémentation de passkeys externe est le choix optimal. L'implémentation est généralement plus rapide que le développement en interne. Des entreprises B2B numériques comme Notion, Hubspot ou Vercel ont déjà adopté les passkeys pour améliorer la sécurité de leur authentification. Le coût total de possession est nettement inférieur au développement en interne, car la maintenance, les mises à jour et les exigences de conformité sont couvertes par le fournisseur.

Exemple : Canva, DocuSign, Notion

8. Conclusion#

Les passkeys sont devenus le standard mondial de l'authentification, simplifiant les connexions pour les utilisateurs finaux tout en renforçant la sécurité. Alors que les entreprises évaluent comment implémenter les passkeys, elles doivent décider si elles doivent développer une solution en interne ou faire appel à un fournisseur de passkeys spécialisé. Bien que les implémentations DIY offrent un contrôle total, elles nécessitent une expertise technique importante, des ressources de développement et une maintenance continue. En revanche, les fournisseurs de passkeys offrent une approche plus rapide, évolutive et rentable, garantissant des taux d'adoption élevés, une expérience utilisateur transparente et la conformité avec les normes de sécurité en constante évolution.

Ce guide a répondu aux questions clés suivantes :

Quels composants sont nécessaires pour implémenter les passkeys et passer au sans mot de passe ?

Un déploiement réussi de passkeys nécessite une infrastructure FIDO2/WebAuthn, des flux UX transparents, des mécanismes de secours et des options de récupération de compte sécurisées. Les entreprises doivent également tenir compte de la compatibilité multi-plateformes et de la conformité en matière de sécurité.
Dois-je implémenter les passkeys en interne ou utiliser un fournisseur externe ?

Bien que le développement en interne offre le contrôle, il s'accompagne d'une grande complexité, de coûts de maintenance continus et de responsabilités en matière de sécurité. La plupart des organisations grand public à grande échelle bénéficient d'une solution de passkeys externe qui offre un déploiement rapide, des coûts opérationnels réduits et une charge technique moindre.
Quel est l'avantage d'avoir un fournisseur de passkeys alors qu'il existe des bibliothèques open-source ?

Les bibliothèques WebAuthn open-source fournissent un point de départ mais manquent de sécurité de niveau entreprise, d'expérience utilisateur optimisée pour les passkeys et de fonctionnalités améliorant l'adoption. Un fournisseur de passkeys garantit un déploiement transparent, une évolutivité et des stratégies d'adoption optimisées qui apportent un meilleur ROI, réduisant les frictions pour les utilisateurs et les développeurs.
Quels sont les plus grands défis dans la construction d'une solution de passkeys ?

Le développement d'un système de passkeys en interne nécessite une expertise approfondie de WebAuthn, du support multi-appareils et de l'adoption des passkeys. La gestion de la complexité continue des appareils et des navigateurs et la garantie de taux d'adoption élevés ajoutent encore à la complexité.
Quels sont les risques d'une implémentation des passkeys en interne ?

Les entreprises risquent des coûts de développement élevés, des délais de déploiement prolongés et des charges de maintenance de sécurité continues. Les échecs de conformité, les vulnérabilités de sécurité et une faible adoption par les utilisateurs peuvent faire dérailler le succès d'un déploiement de passkeys. Une solution de passkeys gérée par un fournisseur atténue ces risques en offrant une infrastructure d'authentification éprouvée et évolutive avec une sécurité et une conformité réglementaire intégrées.