--- url: 'https://www.corbado.com/fr/blog/mfa-obligatoire' title: 'MFA obligatoire et transition vers les Passkeys : les bonnes pratiques' description: 'Découvrez comment l''obligation d''utiliser le MFA révèle des défis en matière d''UX, de récupération de compte et de support, et suivez notre plan étape par étape pour passer du MFA classique aux passkeys.' lang: 'fr' author: 'Max' date: '2025-08-20T15:36:05.940Z' lastModified: '2026-03-27T07:05:49.198Z' keywords: 'mfa obligatoire, rendre mfa obligatoire, imposer mfa, passkeys obligatoires, imposer passkeys, authentification multifacteur obligatoire' category: 'Authentication' --- # MFA obligatoire et transition vers les Passkeys : les bonnes pratiques ## 1. Introduction : La nouvelle réalité du MFA obligatoire L'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) multifacteur (MFA) n'est plus une simple fonctionnalité de sécurité pour les utilisateurs proactifs ; elle est devenue une réalité non négociable et obligatoire pour les entreprises du monde entier. Cette transformation n'est pas un choix, mais une nécessité, alimentée par des cyberattaques incessantes basées sur les identifiants et une pression réglementaire croissante. Des secteurs allant des [services financiers](https://www.corbado.com/passkeys-for-banking) au [secteur public](https://www.corbado.com/passkeys-for-public-sector) opèrent désormais dans des cadres qui font du [MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) une exigence de base pour la conformité. Cette nouvelle ère, où le [MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) est imposé plutôt que proposé, introduit une cascade de défis complexes qui vont bien au-delà de la simple mise en œuvre technique initiale. Lorsque chaque utilisateur doit utiliser le [MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe), une nouvelle série de questions critiques se pose, auxquelles chaque organisation doit répondre. Cet article explorera ces défis en profondeur, en proposant une voie claire à suivre. Nous aborderons les points suivants : 1. Quels sont les [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ûts opérationnels cachés et les pièges en matière d'expérience utilisateur liés à l'application du MFA à grande échelle ? 2. Lorsqu'on leur donne le choix, quelles méthodes de MFA les utilisateurs adoptent-ils réellement, et quels risques de sécurité cela crée-t-il ? 3. Comment la [récupération de compte](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) devient-elle le principal défi dans un environnement de MFA obligatoire, et quels sont les compromis pour le résoudre ? 4. Pourquoi les passkeys sont-ils la solution stratégique aux problèmes créés par le MFA obligatoire, et pas seulement une option de plus ? 5. Quel est le plan d'action pratique, étape par étape, pour réussir la transition du MFA classique obligatoire vers la sécurité et l'expérience utilisateur supérieures des passkeys ? Cette analyse fournira un plan d'action clair et concret pour une transition réussie de l'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) à facteur unique au MFA obligatoire (puis aux passkeys obligatoires). ## 2. Le changement en matière de sécurité : Comprendre le contexte du MFA obligatoire Avant d'explorer les défis de l'application obligatoire, il est crucial de bien comprendre le paysage de l'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) et pourquoi cette obligation le modifie fondamentalement. La terminologie elle-même peut être une source de confusion, mais les distinctions sont essentielles pour toute stratégie de sécurité ou de produit. ### 2.1 Un bref rappel : SFA, 2SV et le véritable MFA L'évolution de l'authentification est une réponse directe à la faiblesse inhérente de sa forme la plus basique. - **Authentification à facteur unique (SFA) :** La combinaison familière nom d'utilisateur et mot de passe. Elle repose sur un seul facteur de « savoir », quelque chose que l'utilisateur connaît. Sa vulnérabilité au [phishing](https://www.corbado.com/glossary/phishing), au [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) et aux attaques par force brute est le principal moteur de l'adoption de méthodes plus robustes. - **Vérification en deux étapes (2SV) :** Souvent confondue avec le MFA, la [2SV](https://www.corbado.com/blog/2sv-vs-2fa) est un processus distinct et moins sécurisé. Elle nécessite deux étapes de vérification, mais peut utiliser deux facteurs de la même catégorie. Un exemple courant est un mot de passe suivi d'une question de sécurité, qui sont tous deux des facteurs de « savoir ». Bien que meilleure que la SFA, elle ne répond pas aux critères d'une véritable sécurité multifacteur. - **Authentification multifacteur (MFA) :** La référence absolue en matière de sécurité, le MFA exige une vérification d'au moins deux catégories différentes de facteurs d'authentification. Les trois principales catégories sont : - **Savoir :** Quelque chose que l'utilisateur connaît (ex. : un mot de passe, un code PIN). - **Possession :** Quelque chose que l'utilisateur possède (ex. : un téléphone mobile recevant un code, une clé de [sécurité matérielle](https://www.corbado.com/fr/blog/meilleures-cles-securite-materielles-fido2-2025)). - **Inhérence :** Quelque chose que l'utilisateur est (ex. : une empreinte digitale, la reconnaissance faciale). ### 2.2 Pourquoi l'obligation change tout La transition du MFA optionnel au MFA obligatoire est un changement de paradigme. Un système optionnel permet une adoption progressive par les utilisateurs les plus soucieux de leur sécurité, masquant ainsi les véritables points de friction. Une obligation force l'ensemble des utilisateurs, des plus technophiles aux plus réfractaires, à adopter le nouveau système simultanément, exposant chaque faille de l'expérience utilisateur et de la structure de support. Ce changement a été accéléré par des catalyseurs réglementaires, notamment la deuxième Directive sur les services de paiement de l'Europe (DSP2) et son exigence d'[Authentification Client Forte](https://www.corbado.com/blog/psd2-sca-requirements) (ACF). Cette réglementation a fondamentalement remodelé le paysage européen des [paiements](https://www.corbado.com/passkeys-for-payment) en rendant le MFA obligatoire pour la plupart des transactions en ligne. En forçant les institutions financières à adopter des API ouvertes et une sécurité renforcée, la [DSP2](https://www.corbado.com/fr/blog/biometrie-sensibilisation-payeur-lien-dynamique) offre une étude de cas massive et concrète de l'authentification imposée. L'objectif principal de l'ACF était de réduire la fraude en exigeant deux facteurs d'authentification indépendants pour les [paiements](https://www.corbado.com/passkeys-for-payment) électroniques. Cependant, le déploiement initial a créé des frictions importantes, certains marchands européens perdant près de 40 % de leurs transactions en raison de la confusion des utilisateurs et de l'abandon de panier. Avec le temps, l'écosystème s'est adapté, et un rapport de la Banque centrale européenne d'août 2024 a confirmé que les transactions authentifiées par ACF ont désormais des taux de fraude nettement inférieurs. Cela démontre le bénéfice à long terme en matière de sécurité, mais souligne également la nécessité cruciale d'équilibrer sécurité et expérience utilisateur. Si ces obligations créent initialement des frictions, elles produisent également un environnement d'éducation de masse involontaire. Lorsque des millions d'utilisateurs sont contraints par leur banque d'approuver une transaction avec une empreinte digitale ou un code, ils se familiarisent avec le concept de deuxième facteur. Cette normalisation, portée par la réglementation, facilite paradoxalement la tâche des autres organisations. La conversation peut évoluer de « Qu'est-ce que le MFA et pourquoi en ai-je besoin ? » à « Voici notre nouvelle méthode, plus simple, pour effectuer l'étape de sécurité que vous connaissez déjà ». Cela crée la base parfaite pour introduire une expérience supérieure comme celle des passkeys. Si vous souhaitez en savoir plus sur les spécificités de ces réglementations et leur relation avec les passkeys, vous pouvez explorer ces ressources : - Analysis of [PSD2](https://www.corbado.com/blog/psd2-passkeys) & SCA Requirements - What SCA Requirements Mean for Passkeys - [PSD2](https://www.corbado.com/blog/psd2-passkeys) Passkeys: [Phishing](https://www.corbado.com/glossary/phishing)-Resistant [PSD2-Compliant](https://www.corbado.com/blog/psd2-passkeys) MFA - SD3 / [PSR](https://www.corbado.com/blog/psd3-psr-passkeys) Implications for Passkeys - [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys) & Passkeys under [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) / [PSR](https://www.corbado.com/blog/psd3-psr-passkeys) ## 3. Les complexités cachées : Ce que signifie imposer le MFA en pratique Imposer le MFA à l'ensemble de ses utilisateurs révèle une multitude de défis pratiques souvent sous-estimés lors de la planification initiale. Ces problèmes ont un impact sur l'expérience utilisateur, la posture de sécurité et les [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ûts opérationnels. ### 3.1 L'obstacle de l'enrôlement : L'inscription à grande échelle Lorsque l'enrôlement est obligatoire, une mauvaise expérience utilisateur n'est plus un simple désagrément ; elle devient un obstacle direct aux opérations commerciales. Les organisations choisissent généralement entre deux stratégies : l'**enrôlement forcé**, qui exige la configuration du MFA lors de la prochaine connexion, ou l'**enrôlement progressif**, qui invite les utilisateurs au fil du temps. Bien que l'enrôlement forcé permette d'atteindre la conformité plus rapidement, il risque d'entraîner une frustration et un taux d'abandon plus élevés si le processus n'est pas fluide. Le succès dépend du respect des meilleures pratiques en matière d'UX, comme proposer plusieurs méthodes d'authentification, fournir des instructions claires et garantir l'accessibilité pour tous les utilisateurs, par exemple en fournissant une clé secrète textuelle à côté d'un code QR pour les applications d'authentificateur. ### 3.2 Le cauchemar de la récupération de compte : Le nouveau problème numéro 1 du support Une fois le MFA activé sur un compte, perdre un deuxième facteur signifie être complètement bloqué. Dans un monde où le MFA est obligatoire, ce n'est pas un incident isolé pour quelques utilisateurs soucieux de leur sécurité ; cela devient un défi majeur et généralisé pour l'ensemble des utilisateurs et les équipes de support qui les assistent. Cela fait de la [récupération de compte](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) le plus grand défi de tous. Les enjeux financiers sont élevés : une seule réinitialisation de mot de passe ou de MFA menée par le support technique peut [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ûter à une entreprise en [moyenne 70 $](https://www.okta.com/blog/2019/08/how-much-are-password-resets-costing-your-company/). Pour une organisation comptant des centaines de milliers d'utilisateurs, même un faible pourcentage ayant besoin d'une récupération peut se traduire par des millions de dollars en coûts opérationnels et en perte de productivité. Les organisations se retrouvent face à un compromis difficile entre sécurité, coût et commodité : - **Récupération assistée par le support technique :** Un agent du support peut vérifier l'identité de l'utilisateur par appel vidéo ou d'autres moyens. C'est un processus sécurisé et vérifié par un humain, mais il est prohibitivement coûteux et lent à mettre à l'échelle, ce qui le rend insoutenable pour la plupart des entreprises. - **Récupération par e-mail ou SMS :** C'est la méthode la plus courante en raison de son faible coût et de sa familiarité pour les utilisateurs. Cependant, c'est aussi une vulnérabilité de sécurité critique. Si un attaquant a déjà compromis le compte de messagerie d'un utilisateur, un précurseur courant d'autres attaques, il peut facilement intercepter le code de récupération et contourner complètement le MFA. Cette méthode annule de fait les avantages de sécurité que l'obligation visait à fournir. - **Codes de secours pré-enregistrés :** Les utilisateurs reçoivent un jeu de codes de secours à usage unique lors de l'enrôlement. Bien que plus sécurisée que la récupération par e-mail, cette approche ajoute de la friction à la configuration initiale. De plus, les utilisateurs omettent souvent de stocker ces codes en toute sécurité ou les perdent, ce qui les ramène finalement au même problème de blocage. - **Vérification par selfie d'identité :** Cette méthode à haute assurance exige que l'utilisateur prenne un selfie en direct et une photo d'une pièce d'identité émise par le [gouvernement](https://www.corbado.com/passkeys-for-public-sector) (comme un permis de conduire ou un passeport). Des systèmes basés sur l'IA comparent ensuite le visage à la pièce d'identité pour confirmer l'identité. Bien que courante dans les secteurs de la [banque](https://www.corbado.com/passkeys-for-banking) et des [services financiers](https://www.corbado.com/passkeys-for-banking) où l'identité est vérifiée lors de l'inscription, elle soulève des préoccupations de confidentialité pour certains utilisateurs et nécessite qu'ils aient leur pièce d'identité physique à portée de main. - **Identifiants et portefeuilles numériques :** Une option émergente et tournée vers l'avenir consiste à utiliser des [identifiants numériques](https://www.corbado.com/fr/blog/digital-credentials-api) vérifiables stockés dans un [portefeuille numérique](https://www.corbado.com/fr/blog/garantie-portefeuille-numerique). Un utilisateur pourrait présenter un identifiant provenant d'un émetteur de confiance (comme un [gouvernement](https://www.corbado.com/passkeys-for-public-sector) ou une banque) pour prouver son identité sans passer par un flux de récupération spécifique au service. Cette méthode en est encore à ses débuts, mais elle laisse entrevoir un avenir de vérification d'identité plus portable et contrôlée par l'utilisateur. ### 3.3 Le problème du cycle de vie des appareils : Nouveaux téléphones, accès perdus Un point de défaillance fréquent et critique dans tout système MFA est le cycle de vie des appareils. Lorsqu'un utilisateur acquiert un nouveau téléphone, la continuité de sa méthode d'authentification est primordiale. - **SMS :** Cette méthode est relativement portable, car un numéro de téléphone peut être transféré sur un nouvel appareil via une nouvelle carte SIM. Cependant, ce processus même est le vecteur d'attaque [exploit](https://www.corbado.com/glossary/exploit)é dans les attaques par [SIM swapping](https://www.corbado.com/faq/sim-swapping-sms-authentication-risk), où un fraudeur convainc un opérateur mobile de transférer le numéro de la victime vers une carte SIM qu'il contrôle. - **Applications d'authentification (TOTP) :** C'est une source majeure de friction pour les utilisateurs. À moins que l'utilisateur n'ait activement activé une fonction de sauvegarde dans le cloud au sein de son application d'authentificateur (une fonctionnalité qui n'est ni universelle ni toujours utilisée), les clés secrètes qui génèrent les codes sont perdues avec l'ancien appareil. Cela oblige l'utilisateur à suivre un processus de [récupération de compte](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) complet, et souvent pénible, pour chaque service qu'il avait sécurisé. - **Notifications Push :** Similaire aux applications TOTP, le MFA basé sur les notifications push est lié à une installation d'application spécifique sur un appareil enregistré. Un nouveau téléphone nécessite un nouvel enrôlement, déclenchant les mêmes défis de récupération. ### 3.4 Le paradoxe des préférences utilisateur : Le chemin de moindre résistance Lorsqu'une organisation impose le MFA et offre un choix de méthodes, un schéma prévisible se dessine : plus de 95 % des utilisateurs se tournent vers ce qui est le plus familier et perçu comme le plus simple, c'est-à-dire les codes à usage unique (OTP) par SMS. Ce comportement crée un paradoxe. Un [CISO](https://www.corbado.com/glossary/ciso) peut imposer le MFA pour améliorer la sécurité. Cependant, si de nombreux utilisateurs continuent de s'appuyer sur une méthode vulnérable au [phishing](https://www.corbado.com/glossary/phishing) comme le SMS, l'organisation peut atteindre 100 % de conformité sans améliorer matériellement ses défenses contre les attaques sophistiquées. Conscientes de cela, des plateformes comme Microsoft ont introduit le « MFA préféré par le système », qui incite activement les utilisateurs à choisir des options plus sécurisées comme les applications d'authentificateur plutôt que les SMS ou les appels vocaux. Cela met en lumière une leçon cruciale : il ne suffit pas d'imposer le MFA. Le type de MFA est extrêmement important, et les organisations doivent activement orienter les utilisateurs loin des facteurs plus faibles et vulnérables au phishing. ### 3.5 Le coût opérationnel : Le support technique sous pression La décision d'imposer le MFA a un impact direct et mesurable sur les ressources opérationnelles. Elle déclenche inévitablement une augmentation des tickets de support liés aux problèmes d'enrôlement, à la perte d'authentificateurs et aux demandes de récupération. Une étude de Gartner indique que 30 à 50 % de tous les appels au support informatique concernent déjà des problèmes de mot de passe ; le MFA obligatoire, surtout lorsqu'il est associé à des processus de récupération complexes, exacerbe considérablement ce fardeau. Cela se traduit par des coûts directs que les CTO et les chefs de projet doivent anticiper. De plus, le support technique lui-même devient une cible de choix pour les attaques d'ingénierie sociale, où les attaquants se font passer pour des utilisateurs frustrés et bloqués afin de tromper les agents du support pour qu'ils réinitialisent les facteurs MFA en leur nom. ## 4. Principaux enseignements des déploiements de MFA obligatoire à grande échelle L'examen des déploiements de MFA obligatoire à grande échelle dans le monde réel fournit des leçons inestimables sur ce qui fonctionne et ce qui crée des frictions importantes. Plutôt que de nous concentrer sur des entreprises spécifiques, nous pouvons distiller ces expériences en plusieurs vérités universelles. - **La friction initiale est inévitable, mais gérable :** Le déploiement de l'ACF en Europe a démontré que forcer un changement majeur dans le comportement des utilisateurs, même pour des raisons de sécurité, nuira initialement aux taux de conversion. Cependant, il a également montré qu'avec des processus affinés et l'accoutumance des utilisateurs, ces effets négatifs peuvent être atténués avec le temps. La clé est d'anticiper cette friction et de concevoir le flux le plus simple et le plus convivial possible dès le départ. - **Le choix de l'utilisateur est une arme à double tranchant :** Lorsqu'on leur donne des options, les utilisateurs choisissent systématiquement le chemin de moindre résistance, ce qui signifie souvent sélectionner des méthodes de MFA familières mais moins sécurisées comme le SMS. Cela conduit à un état de « théâtre de la conformité », où l'organisation respecte la lettre de l'obligation mais pas son esprit, restant vulnérable au phishing. Une stratégie réussie doit activement guider les utilisateurs vers des options plus robustes et résistantes au phishing. - **La récupération devient le talon d'Achille :** Dans un monde où le MFA est obligatoire, la récupération de compte passe d'un cas marginal à un fardeau opérationnel majeur et à une vulnérabilité de sécurité critique. S'appuyer sur l'e-mail ou le SMS pour la récupération sape tout le modèle de sécurité, tandis que la récupération assistée par le support est financièrement insoutenable. Un processus de récupération robuste, sécurisé et convivial n'est pas une réflexion après coup ; c'est une exigence fondamentale pour toute obligation réussie. - **Les déploiements par phases réduisent considérablement les risques :** Tenter un déploiement « big bang » pour l'ensemble des utilisateurs est une stratégie à haut risque. Une approche plus prudente, éprouvée dans les grandes entreprises, consiste à piloter le nouveau système avec des groupes d'utilisateurs plus petits et non critiques en premier. Cela permet à l'équipe de projet d'identifier et de résoudre les bugs, d'affiner l'expérience utilisateur et de recueillir des commentaires dans un environnement contrôlé avant un déploiement à grande échelle. - **Une plateforme d'identité centralisée est un puissant catalyseur :** Les organisations disposant d'une plateforme de gestion des identités et des accès (IAM) ou de [Single Sign-On](https://www.corbado.com/blog/passkeys-single-sign-on-sso) (SSO) centralisée préexistante sont bien mieux positionnées pour un déploiement en douceur. Un système d'identité central permet l'application rapide et cohérente de nouvelles politiques d'authentification sur des centaines ou des milliers d'applications, réduisant considérablement la complexité et le coût du projet. ## 5. La prochaine étape inévitable : Pourquoi les passkeys résolvent le problème du MFA obligatoire Les passkeys, basés sur le standard WebAuthn de la [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), ne sont pas seulement une amélioration progressive par rapport au MFA classique. Leur architecture sous-jacente, basée sur la cryptographie à clé publique, est spécialement conçue pour résoudre les problèmes les plus pénibles et persistants créés par l'obligation d'utiliser le MFA. - **Résoudre le cauchemar de la récupération :** Le plus grand défi du MFA obligatoire est la récupération de compte. Les passkeys s'attaquent directement à ce problème. Un passkey est un identifiant cryptographique qui peut être synchronisé sur les appareils d'un utilisateur via l'écosystème de sa plateforme (comme le Trousseau iCloud d'Apple ou le Gestionnaire de mots de passe de Google). Si un utilisateur perd son téléphone, le passkey est toujours disponible sur son ordinateur portable ou sa tablette. Cela réduit considérablement la fréquence des blocages et diminue la dépendance aux canaux de récupération non sécurisés comme l'e-mail ou les interventions coûteuses du support technique. - **Résoudre le problème du cycle de vie des appareils :** Parce que les passkeys sont synchronisés, l'expérience d'acquérir un nouvel appareil passe d'un point de friction élevé à une transition transparente. Lorsqu'un utilisateur se connecte à son compte Google ou Apple sur un nouveau téléphone, ses passkeys sont automatiquement restaurés et prêts à l'emploi. Cela élimine le processus pénible de ré-enrôlement, application par application, requis par les applications d'authentification traditionnelles liées à l'appareil. - **Résoudre le paradoxe des préférences utilisateur :** Les passkeys résolvent le compromis classique entre sécurité et commodité. La méthode d'authentification la plus sécurisée disponible, la cryptographie à clé publique résistante au phishing, est aussi la plus rapide et la plus simple pour l'utilisateur. Un simple geste biométrique ou le code PIN de l'appareil suffit. Il n'y a aucune incitation pour un utilisateur à choisir une option plus faible et moins sécurisée, car l'option la plus forte est aussi la plus pratique. - **Résoudre la vulnérabilité au phishing :** Les passkeys sont résistants au phishing par conception. La paire de clés cryptographiques créée lors de l'enregistrement est liée à l'origine spécifique du site web ou de l'application (par exemple, corbado.com). Un utilisateur ne peut pas être trompé pour utiliser son passkey sur un site de phishing d'apparence similaire (par exemple, corbado.arnaque.com) car le navigateur et le système d'exploitation reconnaîtront la différence d'origine et refuseront d'effectuer l'authentification. Cela offre une garantie de sécurité fondamentale qu'aucune méthode basée sur des secrets partagés (comme les mots de passe ou les OTP) ne peut offrir. - **Résoudre la fatigue MFA :** Une seule action simple de l'utilisateur, comme un scan [Face ID](https://www.corbado.com/faq/is-face-id-passkey) ou une pression du doigt, prouve simultanément la possession de la clé cryptographique sur l'appareil (« quelque chose que vous avez ») et l'inhérence via la [biométrie](https://www.corbado.com/fr/blog/biometrie-sensibilisation-payeur-lien-dynamique) (« quelque chose que vous êtes »). Pour l'utilisateur, cela ressemble à une seule étape sans effort, mais cela satisfait cryptographiquement à l'exigence d'authentification multifacteur. Cela permet aux organisations de répondre à des normes de conformité strictes sans ajouter les étapes supplémentaires et la charge cognitive associées au MFA classique. ## 6. Le virage stratégique : Un plan pour passer aux passkeys obligatoires Passer du MFA classique à une stratégie axée sur les passkeys nécessite une approche délibérée en plusieurs étapes qui prend en compte la technologie, l'expérience utilisateur et les objectifs commerciaux. ### 6.1 Étape 1 : Auditer la compatibilité des appareils Avant de pouvoir imposer les passkeys, vous devez comprendre la capacité technique de votre base d'utilisateurs à les adopter. C'est une première étape essentielle pour évaluer la faisabilité et le calendrier d'un déploiement. - **Analysez votre parc d'appareils :** Utilisez les outils d'analyse web existants pour collecter des données sur les systèmes d'exploitation (iOS, [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), versions de Windows) et les navigateurs que vos utilisateurs privilégient. - **Déployez un outil d'analyse de compatibilité avec les passkeys :** Pour des données plus précises, un outil léger et respectueux de la vie privée comme le **Passkeys Analyzer de Corbado** peut être intégré à votre site web ou application. Il fournit des analyses en temps réel sur le pourcentage de vos utilisateurs dont les appareils prennent en charge les authentificateurs de plateforme (comme [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID et [Windows Hello](https://www.corbado.com/glossary/windows-hello)) et des améliorations cruciales de l'UX comme l'UI conditionnelle, qui permet le remplissage automatique des passkeys. Ces données sont essentielles pour construire un modèle d'adoption réaliste. ### 6.2 Étape 2 : Concevoir une architecture de secours hybride La transition vers les passkeys sera progressive, pas instantanée. Une stratégie réussie nécessite un système hybride qui promeut les passkeys comme méthode principale et préférée, tout en offrant une solution de secours sécurisée pour les utilisateurs sur des appareils incompatibles ou pour ceux qui ne se sont pas encore inscrits. - **Choisissez un modèle d'intégration :** - **Approche "Identifier-First" :** L'utilisateur saisit son e-mail ou son nom d'utilisateur. Le système vérifie alors si un passkey est enregistré pour cet identifiant et, si c'est le cas, lance le flux de connexion par passkey. Sinon, il bascule de manière transparente vers un mot de passe ou une autre méthode sécurisée. Cette approche offre la meilleure expérience utilisateur et conduit généralement à des taux d'adoption plus élevés. - **Bouton dédié aux passkeys :** Un bouton « Se connecter avec un passkey » est placé à côté du formulaire de connexion traditionnel. C'est plus simple à mettre en œuvre, mais cela oblige l'utilisateur à choisir la nouvelle méthode, ce qui peut entraîner une utilisation plus faible. - **Assurez-vous que les solutions de secours sont sécurisées :** Votre mécanisme de secours ne doit pas compromettre vos objectifs de sécurité. Évitez de vous rabattre sur des méthodes non sécurisées comme les OTP par SMS. Une alternative plus robuste consiste à utiliser un code à usage unique ou un lien magique à durée limitée envoyé à l'adresse e-mail vérifiée de l'utilisateur, qui sert de facteur de possession pour une session spécifique. ### 6.3 Étape 3 : Élaborer un plan de déploiement et de formation centré sur l'utilisateur Une communication efficace est primordiale pour un déploiement en douceur. L'objectif est de présenter les passkeys non pas comme un autre tracas de sécurité, mais comme une amélioration significative de l'expérience de l'utilisateur. - **Messages axés sur les avantages :** Utilisez un langage clair et simple qui met l'accent sur les avantages pour l'utilisateur : « Connectez-vous plus rapidement et en toute sécurité », « Dites adieu aux mots de passe oubliés » et « Votre empreinte digitale est maintenant votre clé ». Utilisez systématiquement l'icône officielle des passkeys de FIDO pour renforcer la reconnaissance. - **Stratégie de déploiement par phases :** 1. **Commencez par une adoption "pull" :** Au début, proposez la création de passkeys comme une option dans la page des paramètres du compte de l'utilisateur. Cela permet aux adeptes précoces et aux utilisateurs technophiles d'opter pour cette solution sans perturber le flux pour tout le monde. 2. **Passez à une adoption "push" :** Une fois que le système est stable, commencez à inciter de manière proactive les utilisateurs à [créer un passkey](https://www.corbado.com/fr/blog/meilleures-pratiques-creation-passkey) immédiatement après s'être connectés avec succès avec leur ancien mot de passe. Cela capture les utilisateurs lorsqu'ils sont déjà dans un « état d'esprit d'authentification ». 3. **Intégrez à l'inscription :** Enfin, faites de la création de passkeys une option principale et recommandée pour toutes les nouvelles inscriptions d'utilisateurs. ### 6.4 Étape 4 : Suivre, mesurer et itérer Une approche basée sur les données est essentielle pour valider l'investissement dans les passkeys et pour optimiser continuellement l'expérience. Toutes les équipes devraient suivre les métriques pertinentes pour leurs rôles. - **Métrique d'adoption et d'engagement :** - **Taux de création de passkeys :** Le pourcentage d'utilisateurs éligibles qui créent un passkey. - **Taux d'utilisation des passkeys :** Le pourcentage de connexions totales effectuées avec un passkey. - **Délai avant la première action clé :** La rapidité avec laquelle les nouveaux utilisateurs effectuent une action critique après avoir adopté les passkeys. - **Métrique commerciales et opérationnelles :** - **Réduction des tickets de réinitialisation de mot de passe :** Une mesure directe de la [réduction des coûts](https://www.corbado.com/fr/blog/fournisseur-authentification-passkey-economiser-100k) du support technique. - **Réduction des coûts des OTP par SMS :** Des économies tangibles grâce à l'élimination d'un facteur obsolète. - **Taux de réussite de la connexion :** Comparaison du taux de réussite des connexions par passkey par rapport aux connexions par mot de passe/MFA. - **Diminution des incidents de prise de contrôle de compte :** La mesure ultime de l'efficacité de la sécurité. Les tableaux suivants fournissent un résumé concis, comparant les méthodes d'authentification et associant directement les solutions de passkeys aux points de friction courants des entreprises. | **Méthode** | **Résistance au phishing** | **Friction utilisateur (Connexion)** | **Complexité de la récupération** | **Portabilité entre appareils** | **Coût opérationnel (Support/SMS)** | | ----------------------------- | ----------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------- | | **Mot de passe seul (SFA)** | Très faible : Très vulnérable au phishing et au credential stuffing. | Moyenne : Sujet aux mots de passe oubliés, nécessitant des réinitialisations. | Moyenne : Repose sur la récupération non sécurisée par e-mail. | Élevée : Portable, mais les risques le sont aussi. | Élevé : Principale source d'appels au support technique. | | **SMS OTP obligatoire** | Faible : Vulnérable au phishing, à l'ingénierie sociale et aux attaques par SIM swapping. | Élevée : Nécessite d'attendre et de saisir un code. | Moyenne : Repose sur l'accès au numéro de téléphone. | Élevée : Le numéro est portable, mais le risque de SIM swapping l'est aussi. | Très élevé : Frais de SMS plus tickets de support pour les blocages. | | **App TOTP obligatoire** | Moyenne : Protège contre les attaques de mot de passe à distance mais pas contre le phishing en temps réel. | Élevée : Nécessite d'ouvrir une application distincte et de saisir un code. | Très élevée : Un appareil perdu signifie souvent un blocage et une récupération complexe. | Faible : Les clés sont liées à l'appareil, sauf si elles sont sauvegardées manuellement. | Élevé : Généré par la perte d'appareils et les tickets de récupération. | | **Notifications Push oblig.** | Faible : Très vulnérable à la fatigue MFA et aux attaques de push bombing. | Faible : Une simple pression pour approuver, mais peut être perturbant. | Très élevée : Lié à un appareil spécifique ; la perte de l'appareil nécessite une récupération complète et complexe. | Faible : Les clés sont liées à l'installation de l'application et ne se transfèrent pas automatiquement vers un nouvel appareil. | Élevé : Génère des tickets de support suite à la perte d'appareils et aux attaques par fatigue MFA. | | **Passkeys obligatoires** | Très élevée : Résistant au phishing par conception grâce à la liaison d'origine. | Très faible : Un seul geste biométrique rapide ou un code PIN. | Faible : Synchronisé sur les appareils de l'utilisateur via le fournisseur de la plateforme. | Très élevée : Disponible de manière transparente sur les nouveaux appareils via la synchronisation cloud. | Très faible : Réduit considérablement les blocages et élimine les coûts des SMS. | **Comment les passkeys apportent des solutions aux points de friction du MFA obligatoire** | **Profil** | **Principal point de friction avec le MFA obligatoire** | **Comment les passkeys apportent la solution** | | --------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Chef de produit** | La forte friction dans les processus de connexion et de récupération nuit à l'expérience utilisateur, réduit l'engagement et diminue les taux de conversion. | Les passkeys offrent une connexion biométrique en un clic, nettement plus rapide que les mots de passe. En éliminant pratiquement les blocages de compte, ils suppriment une source majeure de frustration et de désabonnement des utilisateurs. | | **CTO / Responsable Ingénierie** | Le coût opérationnel élevé des tickets de support pour les réinitialisations de mot de passe et de MFA, ainsi que les coûts récurrents des OTP par SMS, pèsent sur les budgets et les ressources informatiques. | La synchronisation des passkeys entre les appareils réduit considérablement les scénarios de blocage qui génèrent des tickets de support. L'élimination des OTP par SMS permet des économies directes et mesurables. | | **CISO / Professionnel de la sécurité** | Les utilisateurs, lorsqu'ils sont forcés de s'inscrire, choisissent souvent la méthode de MFA la plus faible et la plus vulnérable au phishing disponible (comme le SMS), ce qui compromet l'amélioration de la sécurité visée par l'obligation. | Les passkeys sont résistants au phishing par conception. Ils élèvent le niveau de sécurité de base pour tous les utilisateurs en rendant l'option la plus sûre également la plus pratique, retirant ainsi l'utilisateur de la décision de sécurité. | | **Chef de projet** | L'imprévisibilité d'un déploiement « big bang », associée à la résistance des utilisateurs au changement, rend la gestion des calendriers de projet et de l'allocation des ressources difficile. | Un déploiement progressif des passkeys (en commençant dans les paramètres, puis en le proposant après la connexion) combiné à une communication claire et axée sur les avantages pour l'utilisateur rend l'adoption plus fluide et plus prévisible, réduisant ainsi le risque du projet. | ## Conclusion : Transformer la conformité en avantage concurrentiel L'ère de l'authentification multifacteur obligatoire est là pour durer. Bien que nées du besoin essentiel de se défendre contre les attaques basées sur les identifiants, ces obligations ont involontairement créé un nouveau paysage de défis. Nous avons vu que l'imposition du MFA entraîne des charges opérationnelles importantes, des coûts directs des frais de SMS à l'augmentation des tickets de support d'utilisateurs aux prises avec l'enrôlement et les changements d'appareils. Nous avons appris que, lorsqu'on leur donne le choix, les utilisateurs se tournent vers des méthodes familières mais vulnérables au phishing comme le SMS, atteignant la conformité sur le papier mais laissant l'organisation exposée aux attaques du monde réel. Plus important encore, nous avons établi que dans un monde où le MFA est obligatoire, la récupération de compte devient le principal point de défaillance, une source d'immense frustration pour les utilisateurs et une faille de sécurité béante lorsqu'elle est mal gérée. Les méthodes de MFA classiques ne peuvent pas résoudre ces problèmes. Mais les passkeys le peuvent. Nous avons démontré que les passkeys sont la réponse définitive, résolvant directement les problèmes interconnectés de récupération, de friction utilisateur et de sécurité. Leur nature synchronisée élimine la plupart des scénarios de blocage, leur facilité d'utilisation biométrique supprime l'incitation à choisir des options plus faibles, et leur conception cryptographique les rend immunes au phishing. Enfin, nous avons présenté un plan d'action clair en quatre étapes, de l'audit de la compatibilité à la mesure du succès, qui fournit un chemin pratique pour toute organisation souhaitant effectuer cette transition stratégique. Considérer ce changement uniquement comme un casse-tête de conformité, c'est passer à côté de l'opportunité stratégique qu'il présente. Les pionniers de l'[Authentification Client Forte](https://www.corbado.com/blog/psd2-sca-requirements) dans le secteur [bancaire](https://www.corbado.com/passkeys-for-banking) européen, malgré les difficultés initiales, ont finalement façonné les attentes des utilisateurs pour toute une industrie. Aujourd'hui, les pionniers des passkeys ont la même opportunité. En adoptant cette transition, les organisations peuvent transformer une obligation de sécurité d'une contrainte pesante en un avantage concurrentiel puissant et durable. Le moment est venu de planifier votre passage de l'obligation à l'élan.