MFA obligatoire et transition vers les Passkeys : les bonnes pratiques

L'authentification multifacteur (MFA) n'est plus une simple fonctionnalité de sécurité pour les utilisateurs proactifs ; elle est devenue une réalité non négociable et obligatoire pour les entreprises du monde entier. Cette transformation n'est pas un choix, mais une nécessité, alimentée par des cyberattaques incessantes basées sur les identifiants et une pression réglementaire croissante. Des secteurs allant des services financiers au secteur public opèrent désormais dans des cadres qui font du MFA une exigence de base pour la conformité. Cette nouvelle ère, où le MFA est imposé plutôt que proposé, introduit une cascade de défis complexes qui vont bien au-delà de la simple mise en œuvre technique initiale.

Lorsque chaque utilisateur doit utiliser le MFA, une nouvelle série de questions critiques se pose, auxquelles chaque organisation doit répondre. Cet article explorera ces défis en profondeur, en proposant une voie claire à suivre. Nous aborderons les points suivants :

1. Quels sont les coûts opérationnels cachés et les pièges en matière d'expérience utilisateur liés à l'application du MFA à grande échelle ?

2. Lorsqu'on leur donne le choix, quelles méthodes de MFA les utilisateurs adoptent-ils réellement, et quels risques de sécurité cela crée-t-il ?

3. Comment la récupération de compte devient-elle le principal défi dans un environnement de MFA obligatoire, et quels sont les compromis pour le résoudre ?

4. Pourquoi les passkeys sont-ils la solution stratégique aux problèmes créés par le MFA obligatoire, et pas seulement une option de plus ?

5. Quel est le plan d'action pratique, étape par étape, pour réussir la transition du MFA classique obligatoire vers la sécurité et l'expérience utilisateur supérieures des passkeys ?

Cette analyse fournira un plan d'action clair et concret pour une transition réussie de l'authentification à facteur unique au MFA obligatoire (puis aux passkeys obligatoires).

Avant d'explorer les défis de l'application obligatoire, il est crucial de bien comprendre le paysage de l'authentification et pourquoi cette obligation le modifie fondamentalement. La terminologie elle-même peut être une source de confusion, mais les distinctions sont essentielles pour toute stratégie de sécurité ou de produit.

L'évolution de l'authentification est une réponse directe à la faiblesse inhérente de sa forme la plus basique.

• Authentification à facteur unique (SFA) : La combinaison familière nom d'utilisateur et mot de passe. Elle repose sur un seul facteur de « savoir », quelque chose que l'utilisateur connaît. Sa vulnérabilité au phishing, au credential stuffing et aux attaques par force brute est le principal moteur de l'adoption de méthodes plus robustes.

• Vérification en deux étapes (2SV) : Souvent confondue avec le MFA, la 2SV est un processus distinct et moins sécurisé. Elle nécessite deux étapes de vérification, mais peut utiliser deux facteurs de la même catégorie. Un exemple courant est un mot de passe suivi d'une question de sécurité, qui sont tous deux des facteurs de « savoir ». Bien que meilleure que la SFA, elle ne répond pas aux critères d'une véritable sécurité multifacteur.

• Authentification multifacteur (MFA) : La référence absolue en matière de sécurité, le MFA exige une vérification d'au moins deux catégories différentes de facteurs d'authentification. Les trois principales catégories sont :

  • Savoir : Quelque chose que l'utilisateur connaît (ex. : un mot de passe, un code PIN).

  • Possession : Quelque chose que l'utilisateur possède (ex. : un téléphone mobile recevant un code, une clé de sécurité matérielle).

  • Inhérence : Quelque chose que l'utilisateur est (ex. : une empreinte digitale, la reconnaissance faciale).

La transition du MFA optionnel au MFA obligatoire est un changement de paradigme. Un système optionnel permet une adoption progressive par les utilisateurs les plus soucieux de leur sécurité, masquant ainsi les véritables points de friction. Une obligation force l'ensemble des utilisateurs, des plus technophiles aux plus réfractaires, à adopter le nouveau système simultanément, exposant chaque faille de l'expérience utilisateur et de la structure de support.

Ce changement a été accéléré par des catalyseurs réglementaires, notamment la deuxième Directive sur les services de paiement de l'Europe (DSP2) et son exigence d'Authentification Client Forte (ACF). Cette réglementation a fondamentalement remodelé le paysage européen des paiements en rendant le MFA obligatoire pour la plupart des transactions en ligne. En forçant les institutions financières à adopter des API ouvertes et une sécurité renforcée, la DSP2 offre une étude de cas massive et concrète de l'authentification imposée.

L'objectif principal de l'ACF était de réduire la fraude en exigeant deux facteurs d'authentification indépendants pour les paiements électroniques. Cependant, le déploiement initial a créé des frictions importantes, certains marchands européens perdant près de 40 % de leurs transactions en raison de la confusion des utilisateurs et de l'abandon de panier. Avec le temps, l'écosystème s'est adapté, et un rapport de la Banque centrale européenne d'août 2024 a confirmé que les transactions authentifiées par ACF ont désormais des taux de fraude nettement inférieurs. Cela démontre le bénéfice à long terme en matière de sécurité, mais souligne également la nécessité cruciale d'équilibrer sécurité et expérience utilisateur.

Si ces obligations créent initialement des frictions, elles produisent également un environnement d'éducation de masse involontaire. Lorsque des millions d'utilisateurs sont contraints par leur banque d'approuver une transaction avec une empreinte digitale ou un code, ils se familiarisent avec le concept de deuxième facteur. Cette normalisation, portée par la réglementation, facilite paradoxalement la tâche des autres organisations. La conversation peut évoluer de « Qu'est-ce que le MFA et pourquoi en ai-je besoin ? » à « Voici notre nouvelle méthode, plus simple, pour effectuer l'étape de sécurité que vous connaissez déjà ». Cela crée la base parfaite pour introduire une expérience supérieure comme celle des passkeys.

Si vous souhaitez en savoir plus sur les spécificités de ces réglementations et leur relation avec les passkeys, vous pouvez explorer ces ressources :

• Analysis of PSD2 & SCA Requirements

• What SCA Requirements Mean for Passkeys

• PSD2 Passkeys: Phishing-Resistant PSD2-Compliant MFA

• SD3 / PSR Implications for Passkeys

• Delegated Authentication & Passkeys under PSD3 / PSR

Imposer le MFA à l'ensemble de ses utilisateurs révèle une multitude de défis pratiques souvent sous-estimés lors de la planification initiale. Ces problèmes ont un impact sur l'expérience utilisateur, la posture de sécurité et les coûts opérationnels.

Lorsque l'enrôlement est obligatoire, une mauvaise expérience utilisateur n'est plus un simple désagrément ; elle devient un obstacle direct aux opérations commerciales. Les organisations choisissent généralement entre deux stratégies : l'enrôlement forcé, qui exige la configuration du MFA lors de la prochaine connexion, ou l'enrôlement progressif, qui invite les utilisateurs au fil du temps. Bien que l'enrôlement forcé permette d'atteindre la conformité plus rapidement, il risque d'entraîner une frustration et un taux d'abandon plus élevés si le processus n'est pas fluide. Le succès dépend du respect des meilleures pratiques en matière d'UX, comme proposer plusieurs méthodes d'authentification, fournir des instructions claires et garantir l'accessibilité pour tous les utilisateurs, par exemple en fournissant une clé secrète textuelle à côté d'un code QR pour les applications d'authentificateur.

Une fois le MFA activé sur un compte, perdre un deuxième facteur signifie être complètement bloqué. Dans un monde où le MFA est obligatoire, ce n'est pas un incident isolé pour quelques utilisateurs soucieux de leur sécurité ; cela devient un défi majeur et généralisé pour l'ensemble des utilisateurs et les équipes de support qui les assistent. Cela fait de la récupération de compte le plus grand défi de tous.

Les enjeux financiers sont élevés : une seule réinitialisation de mot de passe ou de MFA menée par le support technique peut coûter à une entreprise en moyenne 70 $. Pour une organisation comptant des centaines de milliers d'utilisateurs, même un faible pourcentage ayant besoin d'une récupération peut se traduire par des millions de dollars en coûts opérationnels et en perte de productivité.

Les organisations se retrouvent face à un compromis difficile entre sécurité, coût et commodité :

• Récupération assistée par le support technique : Un agent du support peut vérifier l'identité de l'utilisateur par appel vidéo ou d'autres moyens. C'est un processus sécurisé et vérifié par un humain, mais il est prohibitivement coûteux et lent à mettre à l'échelle, ce qui le rend insoutenable pour la plupart des entreprises.

• Récupération par e-mail ou SMS : C'est la méthode la plus courante en raison de son faible coût et de sa familiarité pour les utilisateurs. Cependant, c'est aussi une vulnérabilité de sécurité critique. Si un attaquant a déjà compromis le compte de messagerie d'un utilisateur, un précurseur courant d'autres attaques, il peut facilement intercepter le code de récupération et contourner complètement le MFA. Cette méthode annule de fait les avantages de sécurité que l'obligation visait à fournir.

• Codes de secours pré-enregistrés : Les utilisateurs reçoivent un jeu de codes de secours à usage unique lors de l'enrôlement. Bien que plus sécurisée que la récupération par e-mail, cette approche ajoute de la friction à la configuration initiale. De plus, les utilisateurs omettent souvent de stocker ces codes en toute sécurité ou les perdent, ce qui les ramène finalement au même problème de blocage.

• Vérification par selfie d'identité : Cette méthode à haute assurance exige que l'utilisateur prenne un selfie en direct et une photo d'une pièce d'identité émise par le gouvernement (comme un permis de conduire ou un passeport). Des systèmes basés sur l'IA comparent ensuite le visage à la pièce d'identité pour confirmer l'identité. Bien que courante dans les secteurs de la banque et des services financiers où l'identité est vérifiée lors de l'inscription, elle soulève des préoccupations de confidentialité pour certains utilisateurs et nécessite qu'ils aient leur pièce d'identité physique à portée de main.

• Identifiants et portefeuilles numériques : Une option émergente et tournée vers l'avenir consiste à utiliser des identifiants numériques vérifiables stockés dans un portefeuille numérique. Un utilisateur pourrait présenter un identifiant provenant d'un émetteur de confiance (comme un gouvernement ou une banque) pour prouver son identité sans passer par un flux de récupération spécifique au service. Cette méthode en est encore à ses débuts, mais elle laisse entrevoir un avenir de vérification d'identité plus portable et contrôlée par l'utilisateur.

Un point de défaillance fréquent et critique dans tout système MFA est le cycle de vie des appareils. Lorsqu'un utilisateur acquiert un nouveau téléphone, la continuité de sa méthode d'authentification est primordiale.

• SMS : Cette méthode est relativement portable, car un numéro de téléphone peut être transféré sur un nouvel appareil via une nouvelle carte SIM. Cependant, ce processus même est le vecteur d'attaque exploité dans les attaques par SIM swapping, où un fraudeur convainc un opérateur mobile de transférer le numéro de la victime vers une carte SIM qu'il contrôle.

• Applications d'authentification (TOTP) : C'est une source majeure de friction pour les utilisateurs. À moins que l'utilisateur n'ait activement activé une fonction de sauvegarde dans le cloud au sein de son application d'authentificateur (une fonctionnalité qui n'est ni universelle ni toujours utilisée), les clés secrètes qui génèrent les codes sont perdues avec l'ancien appareil. Cela oblige l'utilisateur à suivre un processus de récupération de compte complet, et souvent pénible, pour chaque service qu'il avait sécurisé.

• Notifications Push : Similaire aux applications TOTP, le MFA basé sur les notifications push est lié à une installation d'application spécifique sur un appareil enregistré. Un nouveau téléphone nécessite un nouvel enrôlement, déclenchant les mêmes défis de récupération.

Lorsqu'une organisation impose le MFA et offre un choix de méthodes, un schéma prévisible se dessine : plus de 95 % des utilisateurs se tournent vers ce qui est le plus familier et perçu comme le plus simple, c'est-à-dire les codes à usage unique (OTP) par SMS. Ce comportement crée un paradoxe. Un CISO peut imposer le MFA pour améliorer la sécurité. Cependant, si de nombreux utilisateurs continuent de s'appuyer sur une méthode vulnérable au phishing comme le SMS, l'organisation peut atteindre 100 % de conformité sans améliorer matériellement ses défenses contre les attaques sophistiquées. Conscientes de cela, des plateformes comme Microsoft ont introduit le « MFA préféré par le système », qui incite activement les utilisateurs à choisir des options plus sécurisées comme les applications d'authentificateur plutôt que les SMS ou les appels vocaux. Cela met en lumière une leçon cruciale : il ne suffit pas d'imposer le MFA. Le type de MFA est extrêmement important, et les organisations doivent activement orienter les utilisateurs loin des facteurs plus faibles et vulnérables au phishing.

La décision d'imposer le MFA a un impact direct et mesurable sur les ressources opérationnelles. Elle déclenche inévitablement une augmentation des tickets de support liés aux problèmes d'enrôlement, à la perte d'authentificateurs et aux demandes de récupération. Une étude de Gartner indique que 30 à 50 % de tous les appels au support informatique concernent déjà des problèmes de mot de passe ; le MFA obligatoire, surtout lorsqu'il est associé à des processus de récupération complexes, exacerbe considérablement ce fardeau. Cela se traduit par des coûts directs que les CTO et les chefs de projet doivent anticiper. De plus, le support technique lui-même devient une cible de choix pour les attaques d'ingénierie sociale, où les attaquants se font passer pour des utilisateurs frustrés et bloqués afin de tromper les agents du support pour qu'ils réinitialisent les facteurs MFA en leur nom.

L'examen des déploiements de MFA obligatoire à grande échelle dans le monde réel fournit des leçons inestimables sur ce qui fonctionne et ce qui crée des frictions importantes. Plutôt que de nous concentrer sur des entreprises spécifiques, nous pouvons distiller ces expériences en plusieurs vérités universelles.

• La friction initiale est inévitable, mais gérable : Le déploiement de l'ACF en Europe a démontré que forcer un changement majeur dans le comportement des utilisateurs, même pour des raisons de sécurité, nuira initialement aux taux de conversion. Cependant, il a également montré qu'avec des processus affinés et l'accoutumance des utilisateurs, ces effets négatifs peuvent être atténués avec le temps. La clé est d'anticiper cette friction et de concevoir le flux le plus simple et le plus convivial possible dès le départ.

• Le choix de l'utilisateur est une arme à double tranchant : Lorsqu'on leur donne des options, les utilisateurs choisissent systématiquement le chemin de moindre résistance, ce qui signifie souvent sélectionner des méthodes de MFA familières mais moins sécurisées comme le SMS. Cela conduit à un état de « théâtre de la conformité », où l'organisation respecte la lettre de l'obligation mais pas son esprit, restant vulnérable au phishing. Une stratégie réussie doit activement guider les utilisateurs vers des options plus robustes et résistantes au phishing.

• La récupération devient le talon d'Achille : Dans un monde où le MFA est obligatoire, la récupération de compte passe d'un cas marginal à un fardeau opérationnel majeur et à une vulnérabilité de sécurité critique. S'appuyer sur l'e-mail ou le SMS pour la récupération sape tout le modèle de sécurité, tandis que la récupération assistée par le support est financièrement insoutenable. Un processus de récupération robuste, sécurisé et convivial n'est pas une réflexion après coup ; c'est une exigence fondamentale pour toute obligation réussie.

• Les déploiements par phases réduisent considérablement les risques : Tenter un déploiement « big bang » pour l'ensemble des utilisateurs est une stratégie à haut risque. Une approche plus prudente, éprouvée dans les grandes entreprises, consiste à piloter le nouveau système avec des groupes d'utilisateurs plus petits et non critiques en premier. Cela permet à l'équipe de projet d'identifier et de résoudre les bugs, d'affiner l'expérience utilisateur et de recueillir des commentaires dans un environnement contrôlé avant un déploiement à grande échelle.

• Une plateforme d'identité centralisée est un puissant catalyseur : Les organisations disposant d'une plateforme de gestion des identités et des accès (IAM) ou de Single Sign-On (SSO) centralisée préexistante sont bien mieux positionnées pour un déploiement en douceur. Un système d'identité central permet l'application rapide et cohérente de nouvelles politiques d'authentification sur des centaines ou des milliers d'applications, réduisant considérablement la complexité et le coût du projet.

Les passkeys, basés sur le standard WebAuthn de la FIDO Alliance, ne sont pas seulement une amélioration progressive par rapport au MFA classique. Leur architecture sous-jacente, basée sur la cryptographie à clé publique, est spécialement conçue pour résoudre les problèmes les plus pénibles et persistants créés par l'obligation d'utiliser le MFA.

• Résoudre le cauchemar de la récupération : Le plus grand défi du MFA obligatoire est la récupération de compte. Les passkeys s'attaquent directement à ce problème. Un passkey est un identifiant cryptographique qui peut être synchronisé sur les appareils d'un utilisateur via l'écosystème de sa plateforme (comme le Trousseau iCloud d'Apple ou le Gestionnaire de mots de passe de Google). Si un utilisateur perd son téléphone, le passkey est toujours disponible sur son ordinateur portable ou sa tablette. Cela réduit considérablement la fréquence des blocages et diminue la dépendance aux canaux de récupération non sécurisés comme l'e-mail ou les interventions coûteuses du support technique.

• Résoudre le problème du cycle de vie des appareils : Parce que les passkeys sont synchronisés, l'expérience d'acquérir un nouvel appareil passe d'un point de friction élevé à une transition transparente. Lorsqu'un utilisateur se connecte à son compte Google ou Apple sur un nouveau téléphone, ses passkeys sont automatiquement restaurés et prêts à l'emploi. Cela élimine le processus pénible de ré-enrôlement, application par application, requis par les applications d'authentification traditionnelles liées à l'appareil.

• Résoudre le paradoxe des préférences utilisateur : Les passkeys résolvent le compromis classique entre sécurité et commodité. La méthode d'authentification la plus sécurisée disponible, la cryptographie à clé publique résistante au phishing, est aussi la plus rapide et la plus simple pour l'utilisateur. Un simple geste biométrique ou le code PIN de l'appareil suffit. Il n'y a aucune incitation pour un utilisateur à choisir une option plus faible et moins sécurisée, car l'option la plus forte est aussi la plus pratique.

• Résoudre la vulnérabilité au phishing : Les passkeys sont résistants au phishing par conception. La paire de clés cryptographiques créée lors de l'enregistrement est liée à l'origine spécifique du site web ou de l'application (par exemple, corbado.com). Un utilisateur ne peut pas être trompé pour utiliser son passkey sur un site de phishing d'apparence similaire (par exemple, corbado.arnaque.com) car le navigateur et le système d'exploitation reconnaîtront la différence d'origine et refuseront d'effectuer l'authentification. Cela offre une garantie de sécurité fondamentale qu'aucune méthode basée sur des secrets partagés (comme les mots de passe ou les OTP) ne peut offrir.

• Résoudre la fatigue MFA : Une seule action simple de l'utilisateur, comme un scan Face ID ou une pression du doigt, prouve simultanément la possession de la clé cryptographique sur l'appareil (« quelque chose que vous avez ») et l'inhérence via la biométrie (« quelque chose que vous êtes »). Pour l'utilisateur, cela ressemble à une seule étape sans effort, mais cela satisfait cryptographiquement à l'exigence d'authentification multifacteur. Cela permet aux organisations de répondre à des normes de conformité strictes sans ajouter les étapes supplémentaires et la charge cognitive associées au MFA classique.

Passer du MFA classique à une stratégie axée sur les passkeys nécessite une approche délibérée en plusieurs étapes qui prend en compte la technologie, l'expérience utilisateur et les objectifs commerciaux.

Avant de pouvoir imposer les passkeys, vous devez comprendre la capacité technique de votre base d'utilisateurs à les adopter. C'est une première étape essentielle pour évaluer la faisabilité et le calendrier d'un déploiement.

• Analysez votre parc d'appareils : Utilisez les outils d'analyse web existants pour collecter des données sur les systèmes d'exploitation (iOS, Android, versions de Windows) et les navigateurs que vos utilisateurs privilégient.

• Déployez un outil d'analyse de compatibilité avec les passkeys : Pour des données plus précises, un outil léger et respectueux de la vie privée comme le Passkeys Analyzer de Corbado peut être intégré à votre site web ou application. Il fournit des analyses en temps réel sur le pourcentage de vos utilisateurs dont les appareils prennent en charge les authentificateurs de plateforme (comme Face ID, Touch ID et Windows Hello) et des améliorations cruciales de l'UX comme l'UI conditionnelle, qui permet le remplissage automatique des passkeys. Ces données sont essentielles pour construire un modèle d'adoption réaliste.

La transition vers les passkeys sera progressive, pas instantanée. Une stratégie réussie nécessite un système hybride qui promeut les passkeys comme méthode principale et préférée, tout en offrant une solution de secours sécurisée pour les utilisateurs sur des appareils incompatibles ou pour ceux qui ne se sont pas encore inscrits.

• Choisissez un modèle d'intégration :

  • Approche "Identifier-First" : L'utilisateur saisit son e-mail ou son nom d'utilisateur. Le système vérifie alors si un passkey est enregistré pour cet identifiant et, si c'est le cas, lance le flux de connexion par passkey. Sinon, il bascule de manière transparente vers un mot de passe ou une autre méthode sécurisée. Cette approche offre la meilleure expérience utilisateur et conduit généralement à des taux d'adoption plus élevés.

  • Bouton dédié aux passkeys : Un bouton « Se connecter avec un passkey » est placé à côté du formulaire de connexion traditionnel. C'est plus simple à mettre en œuvre, mais cela oblige l'utilisateur à choisir la nouvelle méthode, ce qui peut entraîner une utilisation plus faible.

• Assurez-vous que les solutions de secours sont sécurisées : Votre mécanisme de secours ne doit pas compromettre vos objectifs de sécurité. Évitez de vous rabattre sur des méthodes non sécurisées comme les OTP par SMS. Une alternative plus robuste consiste à utiliser un code à usage unique ou un lien magique à durée limitée envoyé à l'adresse e-mail vérifiée de l'utilisateur, qui sert de facteur de possession pour une session spécifique.

Une communication efficace est primordiale pour un déploiement en douceur. L'objectif est de présenter les passkeys non pas comme un autre tracas de sécurité, mais comme une amélioration significative de l'expérience de l'utilisateur.

• Messages axés sur les avantages : Utilisez un langage clair et simple qui met l'accent sur les avantages pour l'utilisateur : « Connectez-vous plus rapidement et en toute sécurité », « Dites adieu aux mots de passe oubliés » et « Votre empreinte digitale est maintenant votre clé ». Utilisez systématiquement l'icône officielle des passkeys de FIDO pour renforcer la reconnaissance.

• Stratégie de déploiement par phases :

  1. Commencez par une adoption "pull" : Au début, proposez la création de passkeys comme une option dans la page des paramètres du compte de l'utilisateur. Cela permet aux adeptes précoces et aux utilisateurs technophiles d'opter pour cette solution sans perturber le flux pour tout le monde.

  2. Passez à une adoption "push" : Une fois que le système est stable, commencez à inciter de manière proactive les utilisateurs à créer un passkey immédiatement après s'être connectés avec succès avec leur ancien mot de passe. Cela capture les utilisateurs lorsqu'ils sont déjà dans un « état d'esprit d'authentification ».

  3. Intégrez à l'inscription : Enfin, faites de la création de passkeys une option principale et recommandée pour toutes les nouvelles inscriptions d'utilisateurs.

Une approche basée sur les données est essentielle pour valider l'investissement dans les passkeys et pour optimiser continuellement l'expérience. Toutes les équipes devraient suivre les métriques pertinentes pour leurs rôles.

• Métrique d'adoption et d'engagement :

  • Taux de création de passkeys : Le pourcentage d'utilisateurs éligibles qui créent un passkey.

  • Taux d'utilisation des passkeys : Le pourcentage de connexions totales effectuées avec un passkey.

  • Délai avant la première action clé : La rapidité avec laquelle les nouveaux utilisateurs effectuent une action critique après avoir adopté les passkeys.

• Métrique commerciales et opérationnelles :

  • Réduction des tickets de réinitialisation de mot de passe : Une mesure directe de la réduction des coûts du support technique.

  • Réduction des coûts des OTP par SMS : Des économies tangibles grâce à l'élimination d'un facteur obsolète.

  • Taux de réussite de la connexion : Comparaison du taux de réussite des connexions par passkey par rapport aux connexions par mot de passe/MFA.

  • Diminution des incidents de prise de contrôle de compte : La mesure ultime de l'efficacité de la sécurité.

Les tableaux suivants fournissent un résumé concis, comparant les méthodes d'authentification et associant directement les solutions de passkeys aux points de friction courants des entreprises.

Comment les passkeys apportent des solutions aux points de friction du MFA obligatoire

L'ère de l'authentification multifacteur obligatoire est là pour durer. Bien que nées du besoin essentiel de se défendre contre les attaques basées sur les identifiants, ces obligations ont involontairement créé un nouveau paysage de défis.

Nous avons vu que l'imposition du MFA entraîne des charges opérationnelles importantes, des coûts directs des frais de SMS à l'augmentation des tickets de support d'utilisateurs aux prises avec l'enrôlement et les changements d'appareils. Nous avons appris que, lorsqu'on leur donne le choix, les utilisateurs se tournent vers des méthodes familières mais vulnérables au phishing comme le SMS, atteignant la conformité sur le papier mais laissant l'organisation exposée aux attaques du monde réel. Plus important encore, nous avons établi que dans un monde où le MFA est obligatoire, la récupération de compte devient le principal point de défaillance, une source d'immense frustration pour les utilisateurs et une faille de sécurité béante lorsqu'elle est mal gérée.

Les méthodes de MFA classiques ne peuvent pas résoudre ces problèmes. Mais les passkeys le peuvent. Nous avons démontré que les passkeys sont la réponse définitive, résolvant directement les problèmes interconnectés de récupération, de friction utilisateur et de sécurité. Leur nature synchronisée élimine la plupart des scénarios de blocage, leur facilité d'utilisation biométrique supprime l'incitation à choisir des options plus faibles, et leur conception cryptographique les rend immunes au phishing. Enfin, nous avons présenté un plan d'action clair en quatre étapes, de l'audit de la compatibilité à la mesure du succès, qui fournit un chemin pratique pour toute organisation souhaitant effectuer cette transition stratégique.

Considérer ce changement uniquement comme un casse-tête de conformité, c'est passer à côté de l'opportunité stratégique qu'il présente. Les pionniers de l'Authentification Client Forte dans le secteur bancaire européen, malgré les difficultés initiales, ont finalement façonné les attentes des utilisateurs pour toute une industrie. Aujourd'hui, les pionniers des passkeys ont la même opportunité. En adoptant cette transition, les organisations peuvent transformer une obligation de sécurité d'une contrainte pesante en un avantage concurrentiel puissant et durable. Le moment est venu de planifier votre passage de l'obligation à l'élan.