Guide sur les clés d'accès : Acheter ou développer en interne
Développer ou acheter une solution de clés d'accès ? Découvrez les avantages et inconvénients, coûts, défis et bonnes pratiques pour faire le bon choix.
Cette page a été traduite automatiquement. Consultez la version originale en anglais ici.
Téléchargez le guide complet sur l'achat ou le développement de clés d'accès#
Téléchargez gratuitement le guide complet Acheter ou Développer des clés d'accès et accédez à toutes les informations.
- ✅ Demandé par les équipes d'Adidas, Woolworths et Mitsubishi
- ✅ Liste complète des éléments constitutifs et modèle de coûts pour décider entre acheter ou développer
- ✅ Cadre de décision pratique de 50 pages
Acheter ou développer une solution de clés d'accès ?
Téléchargez le guide complet Acheter ou Développer
Obtenez une liste de contrôle complète pour le déploiement des clés d'accès, comparant les solutions internes aux solutions de fournisseurs (SaaS et sur site), les principaux défis, les coûts et les bonnes pratiques.
Téléchargez gratuitement le guide Acheter ou Développer
- Pour la plupart des déploiements grand public à grande échelle, l'achat d'une solution de clés d'accès auprès d'un fournisseur offre un déploiement plus rapide, un TCO (coût total de possession) inférieur et des taux d'adoption plus élevés qu'un développement en interne.
- Un seuil critique d'adoption de 50 à 80 % des utilisateurs actifs doit être atteint avant que la suppression du mot de passe ne devienne viable, ce qui fait des outils d'adoption un facteur décisif dans le choix entre acheter et développer.
- Plus de 27 % des connexions par mot de passe échouent, tandis que l'authentification par clé d'accès atteint des taux de réussite de 95 à 97 %, améliorant directement les taux de conversion dans le commerce électronique et la vente au détail.
- Les clés d'accès offrent des gains de vitesse de 3x à 5x par rapport au mot de passe couplé au MFA par SMS, ce qui est corrélé à une plus grande satisfaction des utilisateurs et à une utilisation prolongée.
- Les bibliothèques WebAuthn open-source constituent un point de départ mais manquent de la sécurité de niveau entreprise, de l'expérience utilisateur optimisée et des fonctionnalités favorisant l'adoption requises pour un déploiement à grande échelle.
1. Motivation : Dois-je acheter ou développer une solution d'authentification par clé d'accès ?#
L'idée de développer votre propre implémentation de clés d'accès semble séduisante : contrôle total, intégrations personnalisées et aucune dépendance vis-à-vis d'un fournisseur. Après tout, FIDO2 est basé sur des normes ouvertes et écrire les premières lignes de code WebAuthn semble assez facile. À quel point cela peut-il vraiment être difficile ?
Mais c'est souvent là que la complexité commence, en particulier lorsque vous prévoyez de concevoir une solution pour un scénario de déploiement grand public à grande échelle avec des millions d'utilisateurs dans un secteur tel que :
- Banque et services financiers (ex. banque en ligne, banque, paiements, fintech)
- Gouvernement et services publics (ex. portails citoyens, plateformes fiscales et de sécurité sociale)
- Assurance et santé (ex. portails patients, plateformes d'assurance numériques)
- Commerce électronique et vente au détail (ex. places de marché, programmes de fidélité)
- Télécommunications et services publics (ex. opérateurs mobiles, fournisseurs d'énergie)
- Voyages et hôtellerie (ex. comptes de compagnies aériennes, programmes de fidélité hôteliers)
Le véritable défi commence au-delà de la première connexion réussie par clé d'accès et se révèle souvent alors que vous êtes déjà en train d'implémenter votre solution de clés d'accès. Soudainement, des choses comme des cas particuliers étranges, des erreurs utilisateur déroutantes et des blocages potentiels d'utilisateurs en raison de l'indisponibilité des clés d'accès apparaissent. Ce qui semblait être une intégration simple se transforme en mois, voire en années, d'efforts de développement, en coûts de maintenance imprévus et en un projet de clés d'accès potentiellement raté.
Cependant, développer votre propre solution peut également être le bon choix pour certaines organisations et des exigences spécifiques. Nous avons discuté avec des dizaines d'organisations de leurs plans d'implémentation de clés d'accès et avons accompagné certaines d'entre elles de manière pratique tout au long de leur parcours. Ce guide vous aidera à déterminer quand une approche de clés d'accès interne (DIY) pourrait avoir du sens et quand le choix d'un fournisseur de clés d'accès établi est la décision la plus intelligente.
Avec notre Guide Acheter ou Développer des clés d'accès, nous souhaitons répondre aux questions suivantes :
- Quels composants sont nécessaires pour implémenter des clés d'accès et passer au sans mot de passe ?
- Dois-je implémenter des clés d'accès en interne ou faire appel à un fournisseur externe de clés d'accès ?
- Quel est l'avantage d'avoir un fournisseur de clés d'accès alors qu'il existe des bibliothèques open-source ?
- Quels sont les plus grands défis dans le développement d'une solution de clés d'accès ?
- Quels sont les risques liés à l'implémentation de clés d'accès en interne ?
2. Prérequis : Pourquoi les clés d'accès sont la nouvelle norme de connexion#
Les mots de passe sont obsolètes, peu sûrs et frustrants. Les clés d'accès éliminent les risques de phishing, améliorent l'expérience utilisateur et simplifient l'authentification - ce qui en fait la nouvelle norme en matière de connexions sécurisées. Que vous développiez en interne ou utilisiez une solution externe, l'intégration des clés d'accès constitue une mise à niveau majeure en termes de sécurité et d'utilisabilité.
Google a découvert que mettre en avant la facilité d'utilisation ou la rapidité trouve un écho favorable et fonctionne. Les gens râlent généralement au moment de se connecter, donc tout ce qui rend le processus plus facile et plus rapide est une victoire.
En plus de ces avantages en matière de sécurité, les clés d'accès offrent un énorme potentiel de réduction des coûts opérationnels. Vous pouvez réduire le nombre de SMS OTP envoyés aux utilisateurs, qui peut s'accumuler massivement pour les grandes bases d'utilisateurs. De plus, la charge que les récupérations de mots de passe et de MFA font peser sur vos équipes de support client est également un facteur de coût qui peut être éliminé.
Par ailleurs, les clés d'accès améliorent les taux de réussite et les temps de connexion pour les utilisateurs, ce qui se traduit en fin de compte par de meilleurs taux de conversion, un moteur majeur de croissance du chiffre d'affaires dans des secteurs tels que le commerce électronique, la vente au détail ou les voyages.
3. Le parcours vers le sans mot de passe : Comment les clés d'accès entrent-elles en jeu ?#
L'objectif final pour de nombreuses organisations envisageant l'introduction de clés d'accès est de passer à un système entièrement sans mot de passe. Pour atteindre cet objectif, il y a généralement quatre phases à accomplir. La vitesse à laquelle ces phases progressent dépend en grande partie des capacités techniques de l'organisation, de ses modèles de connexion et de sa base d'utilisateurs. Dans certains cas, des facteurs externes tels que la pression publique pour introduire une authentification plus sécurisée ou des contraintes financières peuvent également jouer un rôle.
Passons en revue ces quatre phases et décrivons-les, car l'implémentation des clés d'accès n'est qu'une étape pour assurer le succès d'un projet de clés d'accès.
3.1 Phase 1 : Intégrer les clés d'accès#
La première étape de la transition vers un système entièrement sans mot de passe consiste à intégrer les clés d'accès comme méthode de connexion. À ce stade, les mots de passe et les autres méthodes d'authentification restent en place en tant que solutions de repli pour garantir que les utilisateurs peuvent toujours accéder à leurs comptes s'ils n'ont pas encore adopté les clés d'accès. Une intégration réussie nécessite une compatibilité transparente avec les flux de connexion et les politiques de sécurité existants. Les organisations doivent s'efforcer de rendre la création de clés d'accès simple, en veillant à ce que les utilisateurs techniques et non techniques puissent adopter la nouvelle méthode d'authentification sans friction.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study3.2 Phase 2 : Augmenter l'adoption des clés d'accès#
Une fois les clés d'accès intégrées, le prochain défi consiste à stimuler l'adoption des clés d'accès par les utilisateurs. De nombreuses organisations sous-estiment l'importance de cette phase, mais sans une adoption généralisée par les utilisateurs, un projet de clés d'accès a de fortes chances d'échouer. L'objectif est d'encourager autant d'utilisateurs que possible à créer et à utiliser des clés d'accès, idéalement en en faisant la méthode de connexion par défaut.
Les principales tactiques pour accroître l'adoption comprennent l'éducation proactive des utilisateurs, des incitations dans l'interface utilisateur qui favorisent la création de clés d'accès et des programmes d'incitation qui récompensent les utilisateurs pour leur transition. Les organisations doivent fixer un seuil critique d'adoption, tel que 50 à 80 % des utilisateurs actifs utilisant des clés d'accès, avant de passer à la phase suivante. Pour comprendre plus en profondeur pourquoi l'adoption est cruciale, consultez notre article dédié sur la façon dont de faibles taux d'adoption peuvent mettre en péril votre projet de clés d'accès.
3.3 Phase 3 : Supprimer les mots de passe#
Au fur et à mesure que l'adoption des clés d'accès atteint une masse critique, les organisations peuvent commencer à supprimer progressivement les mots de passe. Cependant, supprimer les mots de passe trop tôt ou sans planification minutieuse peut entraîner des problèmes d'utilisabilité et une augmentation des demandes d'assistance. Une approche progressive est recommandée :
- Commencez par supprimer les mots de passe des comptes où les utilisateurs s'authentifient systématiquement avec des clés d'accès.
- Proposez la suppression du mot de passe comme option dans les paramètres du compte pour les premiers adoptants.
- Utilisez des informations basées sur les données pour identifier les utilisateurs prêts à passer entièrement au sans mot de passe. Par exemple, les utilisateurs possédant plusieurs clés d'accès enregistrées sur différents de leurs appareils peuvent être prioritaires pour la suppression du mot de passe.
- Communiquez de manière proactive les avantages de la suppression du mot de passe pour renforcer la confiance des utilisateurs.
En guidant stratégiquement les utilisateurs vers une authentification entièrement sans mot de passe, les organisations peuvent maximiser la sécurité sans perturber l'expérience utilisateur.
3.4 Phase 4 : Automatiser la récupération de compte#
Une fois les mots de passe supprimés, les mécanismes de récupération de compte doivent être robustes et sécurisés. Les méthodes de récupération traditionnelles reposent souvent sur des interventions manuelles, telles que des tickets d'assistance ou des réinitialisations par e-mail, qui peuvent introduire des risques de sécurité et des coûts opérationnels. Les organisations doivent mettre en œuvre des solutions modernes de récupération de compte en libre-service qui maintiennent la sécurité tout en améliorant l'expérience utilisateur.
Les éléments clés de la récupération de compte automatisée comprennent :
- Vérifications du vivant (liveness checks) : Empêchez les prises de contrôle de compte non autorisées en vous assurant que l'utilisateur est physiquement présent.
- Vérification d'identité : Exploitez les pièces d'identité émises par le gouvernement et la vérification biométrique pour confirmer l'identité.
- Clés d'accès de secours : Permettez aux utilisateurs de récupérer des comptes à l'aide de clés d'accès de sauvegarde stockées sur d'autres de leurs appareils.
De nombreuses organisations investissent déjà dans des processus de récupération automatisés indépendamment de leur transition vers le sans mot de passe afin de réduire les coûts et d'améliorer l'utilisabilité. Cependant, dans un écosystème basé sur les clés d'accès, ces mécanismes deviennent encore plus essentiels pour maintenir la sécurité et réduire les frictions.
Sur la base de ces quatre phases, nous allons maintenant essayer de vous aider à évaluer la décision d'achat ou de développement. Par conséquent, il est très important pour le succès à long terme de votre projet de clés d'accès d'avoir toutes les phases à l'esprit et de ne pas se contenter d'intégrer des clés d'accès (cela peut toujours être un objectif, mais vous laissez alors tout le potentiel des clés d'accès inexploité).
4. Comment déterminer la bonne approche en matière de clés d'accès#
Le choix entre une solution de clés d'accès interne (DIY) et externe dépend des ressources techniques de votre entreprise, de ses priorités en matière de sécurité, de la taille du déploiement et de sa stratégie de clés d'accès à long terme. Dans la section suivante, nous détaillerons les aspects clés pour vous aider à prendre la meilleure décision.
Le tableau suivant présente les différents critères d'évaluation que vous devez analyser. Selon l'affirmation vers laquelle vous penchez le plus, un nombre de points différent est attribué.
Comment utiliser la matrice d'évaluation :
Pour chaque critère, choisissez si votre entreprise a besoin d'une solution plus simple ou plus élaborée.
- Attribuez 1 point pour chaque réponse où la complexité dans votre cas est la plus faible et correspond davantage à la description sur la gauche.
- Attribuez 5 points pour chaque catégorie où votre réponse s'aligne davantage sur la description de la plus grande complexité sur la droite.
- Si vous n'êtes pas sûr, utilisez 3 points comme option neutre.
Téléchargez le guide complet sur l'achat ou le développement de clés d'accès#
Téléchargez gratuitement le guide complet Acheter ou Développer des clés d'accès et accédez à tous les critères d'évaluation.
Acheter ou développer une solution de clés d'accès ?
Téléchargez le guide complet Acheter ou Développer
Obtenez une liste de contrôle complète pour le déploiement des clés d'accès, comparant les solutions internes aux solutions de fournisseurs (SaaS et sur site), les principaux défis, les coûts et les bonnes pratiques.
Téléchargez gratuitement le guide Acheter ou Développer
5. Comment utiliser ce guide efficacement#
Lorsque vous décidez de développer ou d'acheter une solution de clés d'accès, il est important d'examiner l'ensemble du processus, et pas seulement une seule phase du déploiement des clés d'accès. Même si votre priorité à court terme est de proposer des clés d'accès en tant que MVP, vous devez anticiper les implications à plus long terme, en particulier pour stimuler l'adoption. Voici comment nous recommandons d'utiliser ce guide et d'interpréter vos résultats, en soulignant pourquoi l'adoption compte plus que presque tout autre facteur.
5.1 Concentrez-vous sur l'adoption comme facteur de réussite n°1#
Peu importe le niveau d'avancement de votre solution de clés d'accès, si les utilisateurs ne l'adoptent pas en créant des clés d'accès et en les utilisant pour se connecter, l'ensemble du projet est en danger. D'après notre expérience, les organisations sous-estiment souvent les efforts nécessaires pour éloigner les utilisateurs des mots de passe. Même si vous implémentez les clés d'accès de manière transparente sur le plan technique, une faible adoption entraînera :
- Une dépendance persistante aux mots de passe, annulant les avantages de sécurité des clés d'accès.
- Un ROI minimal, car les économies de coûts (moins de réinitialisations de mots de passe, réduction des SMS OTP) dépendent d'une utilisation significative des clés d'accès pour la connexion.
- Une expérience utilisateur fragmentée, si la plupart des connexions s'effectuent toujours via des méthodes traditionnelles et que seule une petite partie utilise des clés d'accès.
Une adoption élevée, parfois 50 % ou même +80 % de votre base d'utilisateurs est généralement requise avant de pouvoir faire des progrès significatifs vers la réduction ou la suppression complète des mots de passe. Des organisations telles que Google et Amazon fixent des objectifs d'adoption explicites et mènent systématiquement des tests A/B, des campagnes d'éducation des utilisateurs et des incitations dans l'interface utilisateur pour garantir que les clés d'accès sont largement adoptées. Cet effort concentré sur l'adoption n'est pas optionnel ; c'est ce qui transforme le déploiement de vos clés d'accès d'une simple fonctionnalité en un avantage concurrentiel tangible.
5.2 Utilisez le guide de manière holistique ou par phases#
Ce guide est conçu pour vous aider à prendre des décisions éclairées sur les implémentations de clés d'accès à chaque étape de votre parcours :
- Phase 1 (Intégrer les clés d'accès) : Si vous envisagez simplement d'adopter des clés d'accès et la manière de les intégrer, concentrez-vous sur les critères Développer ou Acheter pour l'intégration des clés d'accès.
- Phase 2 (Augmenter l'adoption) : Si vous souhaitez que les clés d'accès soient plus qu'une simple fonctionnalité, planifiez tôt pour stimuler l'adoption par les utilisateurs - même pour un MVP car cela nécessite des investissements technologiques supplémentaires souvent considérablement supérieurs à l'implémentation initiale.
- Phase 3 (Supprimer les mots de passe) : Si l'élimination des mots de passe est un objectif stratégique à plus long terme, assurez-vous que votre architecture et vos flux d'utilisateurs sont conçus en gardant cette étape finale à l'esprit.
- Phase 4 (Automatiser la récupération de compte) : Même si vous n'êtes pas prêt à passer entièrement au sans mot de passe aujourd'hui, assurez-vous que votre approche des clés d'accès peut évoluer vers une récupération robuste et transparente pour éviter de futurs obstacles.
Parmi celles-ci, la Phase 2 (Augmenter l'adoption) est la plus importante. Vous pouvez évaluer chaque section séparément, mais gardez à l'esprit que votre succès à long terme et votre ROI dépendent souvent de l'importance que vous accordez à l'adoption dès le départ.
5.3 Impliquez les parties prenantes clés et alignez-vous sur les objectifs d'adoption#
Si vous en êtes au stade initial de la décision d'implémenter des clés d'accès, commencez par la première section de la matrice d'évaluation (intégration des clés d'accès) et remplissez-la avec la direction, l'informatique, les chefs de produit et d'autres décideurs clés. Demandez-vous :
- Quel est notre taux de connexion par clé d'accès souhaité ? 5 % suffisent-ils pour prouver la faisabilité ou avons-nous besoin de 50 à 80 % avant de considérer les clés d'accès comme un succès ?
- Disposons-nous du budget et de l'adhésion de la direction pour mener des tests A/B sur des mois, lancer des campagnes d'optimisation, créer du matériel pédagogique et affiner les flux d'utilisateurs en continu afin que les utilisateurs comprennent et souhaitent passer aux clés d'accès ? Y a-t-il suffisamment de capacité d'ingénierie disponible pour mettre en œuvre tous les rapports, analyses et tests nécessaires ? Pouvons-nous publier des mises à jour assez fréquemment pour atteindre ces objectifs ?
- Quelle est la vision à long terme ? Visons-nous la suppression du mot de passe ou proposons-nous simplement une alternative ?
Répondre à ces questions d'emblée garantit que votre projet de clés d'accès ne deviendra pas une impasse. Les organisations qui omettent de planifier l'adoption se retrouvent souvent coincées avec des mots de passe pendant des années, compromettant l'ensemble de la stratégie de sécurité et d'expérience utilisateur.
5.4 Plus vous vous éloignez du choix « neutre », plus un fournisseur a de sens#
Tout au long de la matrice, chaque critère d'évaluation peut vous situer n'importe où, de la complexité la plus faible (1) à la complexité la plus élevée (5). Plus vos réponses se déplacent vers la zone neutre (3) et au-delà, plus l'argument en faveur de l'utilisation d'un fournisseur spécialisé de clés d'accès est fort :
- Exigences de complexité élevées - telles que des méthodes de secours avancées, une conformité stricte, des analyses approfondies et une UX multi-appareils - multiplient votre charge d'ingénierie et de maintenance.
- Fort accent sur l'adoption - atteindre rapidement une adoption élevée des clés d'accès ou supprimer les mots de passe nécessite généralement des flux d'utilisateurs bien testés, une télémétrie détaillée et des incitations structurées.
Ces facteurs peuvent submerger les équipes internes, tant sur le plan technique qu'organisationnel. Une solution de clés d'accès gérée peut souvent fournir des bonnes pratiques éprouvées, des mises à jour rapides et une expertise concrète pour accélérer l'adoption beaucoup plus rapidement qu'une approche DIY.
5.5. Le point de vue de Corbado : Quand un fournisseur est le meilleur choix#
En tant que spécialiste des clés d'accès, chez Corbado, nous avons un point de vue fort. Si les clés d'accès figurent sur votre feuille de route et que vous souhaitez une implémentation de pointe qui stimule activement l'adoption, Corbado Connect peut vous aider à faire face à ces complexités à grande échelle. Voici pourquoi :
L'adoption est intégrée à la solution : Notre plateforme est conçue pour maximiser l'adhésion des utilisateurs grâce à des incitations intelligentes, des analyses et des tests A/B continus, ce qui génère également des économies.
Prochaines étapes :
- Remplissez chaque section pertinente de la matrice d'évaluation - en tenant compte de vos objectifs immédiats et à long terme.
- Priorisez l'adoption dans votre prise de décision - alignez-vous avec les parties prenantes sur des objectifs d'adoption explicites et sur les ressources pour les atteindre.
- Comparez le TCO pour les solutions internes par rapport aux solutions des fournisseurs une fois que vous aurez compris votre complexité et vos ambitions d'adoption et parcourez votre processus interne pour évaluer le choix entre développer ou acheter.
- Consultez des experts en clés d'accès (comme Corbado) si vos objectifs stratégiques s'orientent vers une plateforme entièrement gérée qui relève efficacement les défis techniques et d'adoption.
En abordant les clés d'accès de manière holistique et en faisant de l'adoption l'une des cibles clés, vous obtiendrez les meilleurs résultats. Cela signifie une sécurité renforcée, des connexions simplifiées et une véritable voie vers un avenir sans mot de passe. Si vous souhaitez en savoir plus sur Corbado Connect et sur la manière dont nous aidons nos clients à atteindre une forte adoption des clés d'accès, nous sommes à votre disposition pour en discuter.
6. Comment mesurer le succès d'un déploiement de clés d'accès ?#
Maintenant que nous vous avons aidé à déterminer la bonne approche pour répondre à la question « Acheter ou Développer ? », nous allons analyser comment évaluer le succès d'un déploiement de clés d'accès. Par conséquent, nous définissons des KPI d'entrée (input) et de sortie (output) pour un projet de clés d'accès.
6.1 Quels sont les KPI d'entrée importants pour les clés d'accès ?#
Les KPI d'entrée permettent de suivre l'adoption précoce des clés d'accès et d'évaluer si les conditions nécessaires à une utilisation généralisée sont réunies. Ces indicateurs précèdent le comportement de connexion réel, mais sont cruciaux pour permettre une adoption significative et optimiser le déploiement.
| KPI | Définition | Pourquoi est-ce important | Comment mesurer | Référence (Benchmark) |
|---|---|---|---|---|
| Taux d'acceptation des clés d'accès | Pourcentage d'utilisateurs qui, après s'être connectés avec succès (post-connexion), reçoivent une « incitation » (une invite ou une suggestion les encourageant à configurer une clé d'accès) et choisissent de créer une clé d'accès. Ce KPI mesure spécifiquement la réactivité des utilisateurs à ces invites après connexion, mettant en évidence l'efficacité du message d'incitation à stimuler la création de clés d'accès. Cette approche est considérée comme 최신 (à la pointe) car les utilisateurs ne créent généralement pas de manière proactive des clés d'accès via les paramètres de compte ou de gestion des identifiants. Au lieu de cela, les clés d'accès sont le plus souvent adoptées lorsque les utilisateurs sont directement sollicités après s'être connectés, ce qui fait des incitations le principal moteur de création de clés d'accès. Assurez-vous de faire la distinction entre la toute première incitation et les suivantes car les taux chutent. | Une acceptation élevée indique que la persuasion de l'utilisateur et la conception de l'incitation sont réussies. De faibles taux signalent des frictions, des messages peu clairs ou des hésitations de l'utilisateur. | Formule : (Nombre d'utilisateurs qui terminent la création de la clé d'accès après l'incitation) ÷ (Nombre d'utilisateurs exposés à l'incitation). Segmentez par OS/navigateur/appareil. | 50 % à 75 % à la première incitation, jusqu'à 85 % après plusieurs incitations sur mobile. Plus faible sur ordinateur de bureau. Dépend fortement de la formulation et de l'implémentation. |
| Taux de réussite de création de clés d'accès | Proportion d'utilisateurs qui commencent la cérémonie d'enregistrement de la clé d'accès mais la terminent avec succès (c'est-à-dire sans abandon). | Indique combien d'utilisateurs abandonnent au milieu de la création en raison d'une UX confuse, de problèmes techniques ou d'un changement d'avis de l'utilisateur. | Formule : (Nombre d'enregistrements de clés d'accès terminés) ÷ (Nombre de tentatives d'enregistrement) Analysez les points d'échec par OS/navigateur/appareil. | Près de 100 %. |
| Nombre de clés d'accès créées | Nombre cumulé de clés d'accès nouvellement créées au cours d'une période donnée (quotidienne, hebdomadaire, mensuelle). | Une mesure d'adoption brute souvent considérée comme un KPI semi-sortie. Reflète le volume d'utilisation des clés d'accès et le potentiel futur de transfert des connexions loin des mots de passe. | Formule : Somme de toutes les clés d'accès nouvellement enregistrées selon les catégories OS, navigateur, appareil. Surveillez les tendances de croissance au fil du temps. Le nombre absolu n'a aucune implication, il dépend de la taille de la base d'utilisateurs. | Un montant substantiel par jour dès qu'il est complètement déployé. |
Ces KPI d'entrée servent d'indicateurs avancés de l'adoption future des clés d'accès et permettent aux organisations d'affiner l'éducation des utilisateurs, les flux UX et l'implémentation technique.
6.2 Quels sont les KPI de sortie / OKR importants pour les clés d'accès ?#
Les KPI de sortie (OKR) mesurent le succès réel de l'adoption des clés d'accès en évaluant le comportement des utilisateurs, les améliorations opérationnelles et l'impact commercial. Ces indicateurs reflètent l'efficacité concrète d'un déploiement de clés d'accès. Le taux de connexion par clé d'accès est un KPI de sortie central car il reflète directement l'adoption et l'utilisation réelles des clés d'accès. Une hausse du taux de connexion par clé d'accès indique un accueil réussi et une préférence continue des utilisateurs pour les clés d'accès par rapport aux anciennes méthodes d'authentification.
| KPI | Définition | Pourquoi est-ce important | Comment mesurer | Référence (Benchmark) |
|---|---|---|---|---|
| Taux d'activation des utilisateurs | Parmi tous les utilisateurs qui ont vu au moins une incitation (il peut s'agir de plusieurs invites au fil du temps), le pourcentage de ceux qui ont finalement créé au moins une clé d'accès. | Mesure le succès global de l'intégration des clés d'accès à travers de multiples incitations. Les utilisateurs peuvent rejeter la première incitation mais se convertir plus tard. | Formule : (Nombre d'utilisateurs uniques qui ont créé ≥1 clé d'accès) ÷ (Nombre d'utilisateurs uniques auxquels au moins une incitation a été montrée) Segmentez par OS, navigateur, appareil pour voir qui finit par adopter les clés d'accès. Une fois le déploiement étendu, les clés d'accès supprimées doivent également être reflétées ici. | Plus de 50 % en 12 mois. Le taux de connexion par clé d'accès converge vers le taux d'activation des utilisateurs. Cela dépendra de la composition de vos utilisateurs. |
| Taux de connexion par clé d'accès | Le pourcentage de tous les événements de connexion qui sont complétés à l'aide d'une clé d'accès plutôt que d'une méthode existante (mot de passe, SMS OTP, etc.). | Démontre la fréquence d'utilisation réelle des clés d'accès. Un taux de connexion systématiquement faible indique que les utilisateurs préfèrent ou reviennent aux mots de passe malgré la création initiale de clés d'accès, reflète de faibles taux d'activation (car un taux de connexion élevé ne peut se produire que si l'activation elle-même est élevée), ou résulte d'une implémentation de connexion sous-optimale qui n'exploite pas automatiquement les clés d'accès existantes. | Formule : (Nombre de connexions par clé d'accès) ÷ (Total des connexions) Segmentez par OS/navigateur/appareil ou groupe d'utilisateurs. Cela permet de localiser les plateformes ou les données démographiques problématiques où l'utilisation des clés d'accès est faible. | Plus de 20 % en quelques semaines, plus de 50 % en 12 mois. (Dépend fortement de la façon dont vous l'implémentez) |
| Taux de réussite de la connexion par clé d'accès | Proportion de tentatives de connexion par clé d'accès qui se soldent par un succès sans revenir à une solution de secours. | Révèle des frictions au sein du flux de clés d'accès. Un taux plus faible peut indiquer une confusion chez l'utilisateur, des contraintes d'environnement ou des problèmes de compatibilité des appareils conduisant à une solution de repli. Un taux de 100 % n'est pas attendu, car les utilisateurs changent d'appareils ou tentent de se connecter à partir d'appareils qui ne sont pas connectés. Dépend fortement des modèles d'utilisation et des appareils utilisés. | Formule : (Nombre de connexions réussies par clé d'accès) ÷ (Nombre de tentatives de connexion par clé d'accès) Suivez les tentatives partielles, au cours desquelles l'utilisateur abandonne partiellement la clé d'accès et passe au mot de passe. | Plus de 95 % sur le web mobile. Plus de 99 % sur les applications natives. Les taux de connexion sur ordinateur dépendent du nombre de vos utilisateurs possédant plusieurs appareils et de l'endroit où ils s'enregistrent en premier. |
| Temps de connexion par clé d'accès vs Temps de connexion hérité | Comparaison du temps moyen d'authentification via les clés d'accès par rapport aux mots de passe (ou à d'autres méthodes existantes), depuis le moment où l'utilisateur initie la connexion jusqu'à sa réussite. | Des connexions plus rapides par clé d'accès sont corrélées à une plus grande satisfaction des utilisateurs et à une utilisation durable. | Enregistrez les horodatages de début et de réussite de chaque tentative de connexion. Calculez le temps moyen de connexion par clé d'accès par rapport au temps moyen de connexion existant. Segmentez par OS/navigateur/appareil pour des analyses plus approfondies. | Des gains de vitesse de 3x à 5x. En comparaison avec le MFA existant (MDP+SMS). |
| Taux de solution de repli (Fallback) | La fréquence à laquelle les utilisateurs reviennent aux mots de passe ou à une autre méthode sans clé d'accès lors d'une tentative de connexion initialement commencée avec une clé d'accès. | Affiche une dépendance continue aux flux hérités, potentiellement en raison d'une mauvaise fiabilité de la clé d'accès ou d'un manque de confort pour l'utilisateur. | Formule : (Nombre d'événements de secours) ÷ (Nombre de tentatives de connexion par clé d'accès) Mettez en corrélation les données de secours avec les enquêtes auprès des utilisateurs ou les tickets de support pour identifier les causes fondamentales. | Ce KPI est fondamentalement l'inverse du taux de connexion par clé d'accès et dépend de votre implémentation. |
Il est important d'optimiser en priorité la réussite de la connexion par clé d'accès et le taux de connexion par clé d'accès pour garantir une expérience utilisateur sans friction, tout en travaillant simultanément à augmenter les taux d'activation des utilisateurs - mais uniquement lorsque le taux de réussite de connexion est suffisamment élevé pour éviter d'introduire de la frustration chez l'utilisateur. De plus, le suivi de ces KPI par différents segments (tels que le système d'exploitation, le navigateur et l'appareil) et des cas d'utilisation spécifiques (par exemple, les connexions inter-appareils) peut fournir des informations plus approfondies sur les modèles d'adoption et les points de friction potentiels.
6.3 Comment enregistrer les événements nécessaires pour les métriques de clés d'accès#
Mesurer avec précision à la fois les KPI d'entrée (par exemple, l'acceptation, la création) et les KPI de sortie (par exemple, le taux de connexion, l'utilisation des solutions de secours) nécessite la collecte de données provenant de trois sources principales :
- Données d'événements front-end
- Magasin de clés d'accès / identifiants
- Journaux d'authentification existants et de secours
6.3.1 Données d'événements front-end#
Pour calculer des métriques telles que le Taux d'acceptation des clés d'accès ou le Taux de réussite de création de clés d'accès, vous devez détecter combien d'utilisateurs voient une incitation post-connexion, combien cliquent sur « Oui, créer une clé d'accès », et s'ils terminent réellement la création de la clé d'accès. Cela nécessite un suivi des événements en JavaScript (ou mobile natif) pour capturer :
- Quand et si l'incitation est affichée (première fois par rapport aux fois suivantes)
- Combien de temps ils mettent à répondre à l'incitation
- S'ils abandonnent la cérémonie de création de la clé d'accès une ou plusieurs fois
Vous aurez également besoin de l'analyse de l'agent utilisateur ou de client hints (indications du client) pour associer les taux d'acceptation à des versions spécifiques du système d'exploitation ou du navigateur afin de pouvoir détecter des chemins d'accès spécifiques qui ne fonctionnent pas.
6.3.2 Magasin de clés d'accès / identifiants#
Après qu'un utilisateur a initié son enregistrement sur le front-end, le serveur doit confirmer si une nouvelle clé d'accès a réellement été stockée. Vous aurez besoin d'un accès à la base de données ou à l'API d'un fournisseur d'identité externe qui enregistre l'événement de création de chaque identifiant. Ce référentiel vous aide à compter le nombre de clés d'accès existantes par utilisateur et à suivre le résultat final (succès ou échec), vous assurant de savoir précisément quelles tentatives se sont terminées par des enregistrements terminés.
6.3.3 Journaux d'authentification existants et de secours#
Pour des métriques comme le Taux de solution de repli (Fallback), vous devez examiner vos journaux et processus d'authentification actuels. En unifiant ces journaux avec les événements front-end, vous voyez si un utilisateur a commencé une connexion par clé d'accès, a eu une erreur et est passé à la connexion de secours (par exemple, SMS ou mot de passe).
Enfin, la mesure des KPI basés sur le temps, tels que le Temps de connexion par clé d'accès par rapport au Temps de connexion hérité, s'appuie à la fois sur les horodatages du client et du serveur. Étant donné que de nombreuses organisations ne consignent que les connexions réussies, vous devez ajouter une instrumentation pour les flux de clés d'accès partiels ou échoués afin d'évaluer véritablement les frictions et les solutions de secours. L'intégration de ces trois sources de données, tout en respectant les contraintes de confidentialité et réglementaires, est souvent plus complexe que prévu et constitue un autre facteur qui pousse certaines équipes à adopter des plateformes de clés d'accès spécialisées offrant des analyses et un suivi des événements intégrés.
6.3.4 L'approche intégrée de Corbado : Le Process Mining de l'authentification#
Les composants de Corbado Connect collectent implicitement tous les points de données décrits (des centaines de points différents) en générant automatiquement un processus unique pour chaque utilisateur démarrant un processus d'authentification. Grâce à une intégration transparente, Corbado rassemble également les métriques d'authentification de votre solution existante. Cette vision globale identifie précisément les améliorations pour les utilisateurs, fournissant des informations complètes sur tous les KPI essentiels des clés d'accès sans aucun effort supplémentaire de votre part.
6.4 Quels sont les autres KPI de sortie / OKR importants qui devraient être affectés ?#
De plus, les effets suivants des KPI de sortie devraient également apparaître après un déploiement réussi de clés d'accès et sont la plupart du temps déjà collectés au sein de l'entreprise :
Métriques opérationnelles et de réduction des coûts
- Réduction de l'utilisation des SMS OTP – Nombre de SMS OTP économisés grâce à l'authentification par clé d'accès (économies directes).
- Réduction des demandes de réinitialisation de mot de passe – Diminution des interactions avec le service d'assistance liées à l'oubli de mots de passe.
- Réduction des tickets de support client – Baisse du volume des problèmes de service client liés à l'authentification.
- Réduction du volume d'appels au support – Moins d'appels entrants liés aux problèmes d'accès aux comptes.
Métriques d'impact sur l'activité et l'UX
- Taux de fidélisation des utilisateurs – Pourcentage d'utilisateurs qui continuent de s'authentifier après la première connexion.
- Taux de conversion – Fréquence à laquelle les utilisateurs terminent des transactions après l'authentification.
- Taux d'abandon dans les tunnels de connexion – Si les clés d'accès réduisent le nombre d'utilisateurs abandonnant leurs tentatives de connexion.
En suivant spécifiquement les KPI d'entrée et de sortie des clés d'accès et en les mettant en relation avec d'autres données, les organisations peuvent quantifier l'impact de leur déploiement de clés d'accès et apporter des améliorations fondées sur des données pour maximiser l'adoption, réduire les coûts et renforcer la sécurité.
7. Recommandations#
Le choix de la bonne solution de clés d'accès dépend de vos défis spécifiques, de vos exigences de sécurité et de vos considérations de coût. Vous trouverez ci-dessous des recommandations clés pour les décisions Acheter ou Développer dans différents secteurs.
7.1 Recommandation pour les clés d'accès dans la Banque et les Services Financiers#
Considérations clés :
- La conformité réglementaire (par exemple, DSP2, SOC 2, ISO 27001, RGPD) exige des mesures de sécurité strictes pour l'authentification par clé d'accès.
- La comparaison des coûts des clés d'accès est cruciale, car les banques sous-estiment souvent la complexité à long terme et la maintenance des solutions internes.
- Une authentification sécurisée est essentielle pour réduire la fraude par prise de contrôle de compte et le phishing.
Recommandation :
La plupart des banques et des institutions financières devraient s'appuyer sur une
solution d'un fournisseur de clés d'accès plutôt que de
développer en interne, car la gestion de l'infrastructure des clés d'accès en interne
introduit des complexités cachées qui dépassent l'expertise informatique traditionnelle.
L'implémentation de l'authentification par clé d'accès à grande échelle nécessite des
optimisations et des mises à jour continues, une gestion de la compatibilité WebAuthn et
une intégration transparente avec les systèmes bancaires
existants - des éléments que les
fournisseurs de clés d'accès gèrent déjà.
Des banques comme Ubank, Revolut et Finom ouvrent la voie à l'adoption des clés d'accès, reconnaissant le potentiel de la technologie pour améliorer la sécurité tout en améliorant l'expérience utilisateur. L'analyse du retour sur investissement des clés d'accès privilégie souvent l'achat d'une solution de clés d'accès plutôt que d'investir dans une maintenance et des mises à jour continues, avec des implémentations affichant des réductions significatives des tentatives de fraude et des coûts de support liés à l'authentification.
Exemples : Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square
7.2 Recommandation pour les clés d'accès dans le domaine de la Santé#
Considérations clés :
- La conformité HIPAA et RGPD exige une sécurité d'authentification stricte dans l'adoption des clés d'accès.
- Les défis d'implémentation des clés d'accès incluent l'équilibre entre la sécurité et la facilité d'utilisation pour les patients, le personnel médical et les administrateurs informatiques des hôpitaux.
- De nombreux systèmes d'authentification dans la santé s'appuient toujours sur des infrastructures existantes, ce qui rend l'intégration des clés d'accès plus complexe.
Recommandation :
Une solution d'un fournisseur de clés d'accès est le moyen
le plus efficace de répondre aux exigences de conformité tout en simplifiant
l'authentification. Les fournisseurs de clés d'accès gèrent
les correctifs de sécurité, les mises à jour de conformité et la fiabilité de
l'authentification, réduisant ainsi la charge des équipes informatiques.
Exemples : CVS Health, Caremark, Helsana, NHS, Swica
7.3 Recommandation pour les clés d'accès dans le Commerce Électronique et la Vente au Détail#
Considérations clés :
- L'optimisation du taux de conversion (CRO) est critique pour l'activité - les frictions d'authentification impactent directement les revenus.
- Les scénarios multi-appareils doivent fonctionner de manière transparente (les utilisateurs naviguent sur mobile mais terminent leur commande sur ordinateur).
- Les erreurs d'authentification augmentent directement les taux d'abandon de panier, rendant essentiels des flux de connexion optimisés pour l'UX.
Recommandation :
Les plateformes de commerce électronique bénéficient le plus
d'un fournisseur d'implémentation de clés d'accès offrant des taux d'adoption élevés. Des
plateformes majeures comme Amazon et Shopify ont implémenté
l'authentification par clé d'accès, démontrant l'adoption croissante de la technologie
dans le commerce électronique. Des données concrètes montrent
que plus de 27 % des connexions initiales par mot de passe échouent, tandis que
l'authentification basée sur les clés d'accès peut atteindre jusqu'à 95 à 97 % de taux de
réussite, comme le montrent de
précédentes adoptions.
L'analyse du ROI des clés d'accès montre
que des taux de conversion plus élevés et des pertes réduites liées à la fraude justifient
rapidement l'investissement.
Amazon a récemment déclaré avoir fixé un objectif ambitieux d'adoption de 100 % des clés d'accès et d'élimination complète des mots de passe.
Google a également découvert que les utilisateurs en période d'essai qui interagissent avec les clés d'accès sont 20 % plus susceptibles de se convertir en clients payants que ceux qui ne le font pas.
Exemples : KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target
7.4 Recommandation pour les clés d'accès dans les Voyages et l'Hôtellerie#
Considérations clés :
- L'authentification multi-appareils est essentielle, car les utilisateurs réservent des voyages sur un appareil et s'enregistrent sur un autre.
- Les fournisseurs spécialisés dans les clés d'accès doivent garantir des connexions rapides et sécurisées pour faciliter les réservations, les enregistrements et la gestion des comptes.
- La prévention de la fraude est une priorité, car les plateformes de voyage gèrent des transactions de grande valeur.
Recommandation :
La plupart des entreprises de
voyages devraient implémenter des solutions de clés d'accès pour
améliorer la sécurité et l'expérience utilisateur. De grandes
entreprises comme Kayak et
des compagnies aériennes majeures utilisent déjà
l'authentification par clé d'accès pour améliorer l'expérience de leurs utilisateurs. Les
solutions pré-intégrées offrent une
détection de fraude plus
robuste, des expériences de connexion transparentes et une prise en charge instantanée
multi-appareils. Le secteur de l'hôtellerie bénéficie tout particulièrement de temps
d'enregistrement réduits et d'une sécurité améliorée grâce à l'implémentation de clés
d'accès, garantissant une authentification fluide sur tous les points de contact
(applications, bornes, web et plateformes partenaires).
Exemples : Air New Zealand, Bolt, Grab, Uber, Hyatt
7.5 Recommandation pour les clés d'accès dans l'Assurance#
Considérations clés :
- Les coûts d'implémentation des clés d'accès doivent s'aligner sur les besoins de conformité et les améliorations de l'expérience utilisateur.
- De nombreux clients de l'assurance ne sont pas très à l'aise avec la technologie ; l'expérience utilisateur sur toutes sortes d'appareils et de navigateurs est donc impérative.
- L'intégration des clés d'accès avec la vérification d'identité est souvent requise pour la gestion des politiques et le traitement des sinistres.
Recommandation :
Une solution de clés d'accès externe est la plus adaptée pour un déploiement rapide et une
conformité réglementaire. Les fournisseurs d'assurance
signalent une réduction significative des tickets d'assistance liés à l'authentification
après l'implémentation de clés d'accès. Un fournisseur d'implémentation de clés d'accès
proposant des flux d'authentification personnalisables et une vérification d'identité
intégrée garantit la sécurité tout en gardant les connexions clients simples. L'analyse du
ROI des clés d'accès suggère que la
réduction des réinitialisations de mots de passe et des pertes liées à la fraude compense
les coûts des fournisseurs.
Exemples : Branch
7.6 Recommandation pour les clés d'accès dans le Gouvernement et les Services Publics#
Considérations clés :
- Les normes de sécurité les plus élevées et les exigences de conformité (par exemple, NIST, le cadre Essential Eight exige un MFA résistant au phishing).
- Besoins de déploiement à grande échelle auprès de populations d'utilisateurs diversifiées avec des compétences techniques variables.
- Exigences d'intégration avec les systèmes de vérification d'identité existants du gouvernement et l'infrastructure héritée.
Recommandation :
Pour les agences gouvernementales, une solution de clés
d'accès spécialisée qui répond à des normes de sécurité strictes tout en garantissant
l'accessibilité est essentielle. Le succès de l'implémentation chez
VicRoads démontre que les organisations gouvernementales
bénéficient le plus de solutions de clés d'accès externes qui gèrent automatiquement les
exigences de conformité et les mises à jour de sécurité. Par conséquent, choisissez un
fournisseur d'implémentation de clés d'accès qui offre une sécurité de niveau entreprise,
prend en charge l'authentification multi-appareils et fournit des flux
d'authentification adaptatifs pour répondre aux besoins de tous les citoyens.
Exemple : VicRoads, myGov, État du Michigan
7.7 Recommandation pour les clés d'accès dans les Télécommunications et les Services Publics (Utilities)#
Considérations clés :
- L'évolutivité et la fiabilité sont critiques, car les fournisseurs de télécommunications et de services publics gèrent souvent des millions d'utilisateurs répartis dans divers segments de clientèle, nécessitant une authentification hautement disponible et tolérante aux pannes.
- La prise en charge multi-appareils et multiplateformes est essentielle, car les utilisateurs accèdent à leurs comptes via des applications mobiles ou des portails web. L'authentification transparente par clé d'accès doit fonctionner sur tous les points de contact clients.
- La prise en charge des systèmes d'authentification existants est souvent nécessaire, car les fournisseurs de télécommunications et de services publics peuvent avoir besoin d'intégrer les clés d'accès dans les systèmes IAM (gestion des identités et des accès) existants et les plateformes d'identité des clients sans perturber les flux d'authentification actuels.
- La prévention de la fraude et la sécurité des comptes sont des priorités absolues, en particulier pour la fraude par échange de carte SIM (SIM swap), le vol d'identité et l'accès non autorisé aux comptes. Les clés d'accès peuvent réduire considérablement les attaques de phishing et les risques de bourrage d'identifiants (credential stuffing).
Recommandation :
Pour les fournisseurs de télécommunications et de services
publics, l'adoption d'une solution de clés d'accès externe est l'approche recommandée.
Compte tenu de l'échelle, de la complexité et des exigences de sécurité de ces secteurs,
un fournisseur de clés d'accès géré garantit la conformité, une haute disponibilité et une
intégration transparente avec l'infrastructure d'authentification existante. Les géants
des télécommunications et les fournisseurs de services publics axés sur le numérique
adoptent déjà les clés d'accès dans le cadre de leurs efforts de modernisation de la
sécurité afin de réduire la fraude et d'améliorer l'expérience utilisateur. De plus,
l'externalisation de l'implémentation des clés d'accès réduit le Coût Total de Possession
(TCO) par rapport à un développement en interne, car la maintenance continue, les mises à
jour de sécurité et la conformité réglementaire sont gérées par le fournisseur.
Exemple : Deutsche Telekom, Telstra, SK Telecom
7.8 Recommandation pour les clés d'accès dans le B2B SaaS#
Considérations clés :
- L'authentification multi-locataire (multi-tenant) est essentielle pour le B2B SaaS, nécessitant une intégration de clés d'accès évolutive sur différents systèmes IAM.
- Les entreprises attendent le SSO (OIDC/SAML), par conséquent une intégration transparente avec les Fournisseurs d'Identité (IdP) est vitale pour l'entreprise.
- Les coûts d'implémentation des clés d'accès doivent être équilibrés avec d'autres investissements en sécurité, tels que l'authentification multifacteur (MFA) et les modèles de sécurité Zero Trust.
Recommandation :
Pour la plupart des fournisseurs B2B SaaS, une implémentation de clés d'accès externe est
le choix optimal. L'implémentation est généralement plus rapide que le développement en
interne. Des entreprises numériques B2B comme Notion, Hubspot ou
Vercel ont déjà adopté les clés d'accès pour améliorer la
sécurité de leur authentification. Le Coût Total de Possession est considérablement
inférieur à celui d'un développement en interne, car la maintenance, les mises à jour et
les exigences de conformité sont couvertes par le fournisseur.
Exemple : Canva, DocuSign, Notion
8. Conclusion#
Les clés d'accès sont devenues la norme mondiale en matière d'authentification, simplifiant les connexions pour les utilisateurs finaux tout en renforçant la sécurité. Lorsque les entreprises évaluent la manière d'implémenter les clés d'accès, elles doivent décider si elles souhaitent développer une solution interne ou faire appel à un fournisseur spécialisé dans les clés d'accès. Bien que les implémentations DIY (en interne) offrent un contrôle total, elles nécessitent une expertise technique importante, des ressources de développement et une maintenance continue. En revanche, les fournisseurs de clés d'accès proposent une approche plus rapide, évolutive et rentable, garantissant des taux d'adoption élevés, une expérience utilisateur transparente et la conformité avec des normes de sécurité en constante évolution.
Ce guide a abordé les questions clés suivantes :
-
Quels composants sont nécessaires pour implémenter des clés d'accès et passer au sans mot de passe ?
Un déploiement de clés d'accès réussi nécessite une infrastructure FIDO2/WebAuthn, des flux UX transparents, des mécanismes de secours (fallback) et des options de récupération de compte sécurisées. Les entreprises doivent également prendre en compte la compatibilité multiplateforme et la conformité de sécurité.
-
Dois-je implémenter des clés d'accès en interne ou utiliser un fournisseur externe ?
Bien que le développement en interne offre un contrôle, il s'accompagne d'une complexité élevée, de coûts de maintenance continus et de responsabilités en matière de sécurité. La plupart des organisations en contact avec les consommateurs à grande échelle bénéficient d'une solution de clés d'accès externe qui offre un déploiement rapide, des coûts opérationnels réduits et des frais techniques moindres.
-
Quel est l'avantage d'avoir un fournisseur de clés d'accès alors qu'il existe des bibliothèques open-source ?
Les bibliothèques WebAuthn open-source fournissent un point de départ mais manquent de la sécurité de niveau entreprise, d'une expérience utilisateur optimisée pour les clés d'accès et de fonctionnalités favorisant l'adoption. Un fournisseur de clés d'accès assure un déploiement transparent, une évolutivité et des stratégies d'adoption optimisées par les utilisateurs qui apportent un meilleur ROI, réduisant les frictions pour les utilisateurs et les développeurs.
-
Quels sont les plus grands défis dans le développement d'une solution de clés d'accès ?
Le développement d'un système de clés d'accès en interne nécessite une expertise approfondie dans WebAuthn, la prise en charge multi-appareils et l'adoption des clés d'accès. Le maintien de la compatibilité continue avec les appareils et les navigateurs, ainsi que la garantie de taux d'adoption élevés ajoutent encore à la complexité.
-
Quels sont les risques de l'implémentation de clés d'accès en interne ?
Les entreprises risquent des coûts de développement élevés, des délais de déploiement prolongés et des charges continues de maintenance de la sécurité. Les échecs de conformité, les vulnérabilités de sécurité et la faible adoption par les utilisateurs peuvent faire dérailler le succès d'un déploiement de clés d'accès. Une solution de clés d'accès gérée par un fournisseur atténue ces risques en offrant une infrastructure d'authentification éprouvée et évolutive avec une sécurité intégrée et une conformité réglementaire.
À propos de Corbado
Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →
Foire aux questions#
Quels sont les principaux risques liés au développement en interne d'une solution de clés d'accès pour une entreprise ?#
Le développement en interne nécessite une expertise approfondie de WebAuthn, une gestion continue de la compatibilité des navigateurs et des appareils, ainsi qu'une maintenance dédiée à la sécurité. Les entreprises risquent de voir les délais de déploiement s'allonger, de ne pas respecter la conformité et de souffrir d'une faible adoption par les utilisateurs. Pour les secteurs réglementés comme la banque et la santé, la conformité aux normes DSP2, HIPAA et NIST ajoute une complexité supplémentaire que les fournisseurs de clés d'accès gèrent déjà en permanence.
Quel niveau d'adoption des clés d'accès dois-je atteindre avant de supprimer les mots de passe en toute sécurité ?#
Les organisations ont besoin que 50 à 80 % de leurs utilisateurs actifs s'authentifient avec des clés d'accès avant de supprimer les mots de passe. Supprimer les mots de passe trop tôt augmente les demandes d'assistance et les problèmes d'utilisabilité. Une approche progressive commence par les comptes où les utilisateurs s'authentifient systématiquement via des clés d'accès, s'appuie sur de multiples incitations (les taux d'acceptation atteignent jusqu'à 85 % sur mobile après plusieurs invites) et se développe en fonction d'informations basées sur les données.
Quels KPI dois-je suivre pour mesurer le succès d'un déploiement de clés d'accès ?#
Suivez les KPI d'entrée, notamment le taux d'acceptation des clés d'accès (référence : 50 à 75 % lors de la première incitation, jusqu'à 85 % sur mobile après plusieurs incitations) et le taux de réussite de création visant près de 100 %. Pour les KPI de sortie, visez un taux de connexion par clé d'accès supérieur à 20 % en quelques semaines et supérieur à 50 % en 12 mois. Segmentez toutes les métriques par système d'exploitation, navigateur et appareil pour identifier les points de friction.
Pourquoi les projets de clés d'accès échouent-ils même après une implémentation technique réussie ?#
La plupart des projets de clés d'accès échouent en raison d'une faible adoption par les utilisateurs plutôt que de problèmes techniques. La dépendance persistante aux mots de passe annule les avantages en matière de sécurité, élimine les économies de coûts liées à la réduction des SMS OTP et des réinitialisations de mots de passe, et crée une expérience utilisateur fragmentée. Google et Amazon résolvent ce problème par des tests A/B continus, des incitations dans l'interface utilisateur et des campagnes d'éducation des utilisateurs structurées ciblant spécifiquement l'adoption.
Quelles industries bénéficient le plus de l'utilisation d'un fournisseur de clés d'accès plutôt que d'un développement en interne ?#
Les secteurs de la banque, de la santé, du gouvernement, du commerce électronique, des télécommunications et de l'assurance bénéficient le plus des solutions des fournisseurs de clés d'accès en raison des exigences réglementaires telles que la DSP2, HIPAA et NIST, combinées à de vastes bases d'utilisateurs et à une infrastructure héritée complexe. Amazon s'est fixé pour objectif une adoption des clés d'accès à 100 % et l'élimination complète des mots de passe, illustrant l'ampleur de l'engagement que ces déploiements exigent.
Partager cet article
Articles associés
Table des matières