Le sans mot de passe pour le B2C à grande échelle : Guide 2026

1. Introduction : Le sans mot de passe pour le B2C à grande échelle#

Le sans mot de passe pour le B2C à grande échelle n'est plus une option stratégique — c'est une exigence importante pour les équipes CIAM. À 500 000 utilisateurs actifs mensuels (MAU) sur une base totale de 2 millions, chaque point de pourcentage d'adoption des clés d'accès se traduit par une réduction mesurable des coûts des OTP SMS, moins de piratages de comptes et une meilleure conversion au moment du paiement. Pourtant, la plupart des déploiements B2C à grande échelle ayant "activé les clés d'accès" voient encore 90 % des connexions quotidiennes s'effectuer via des mots de passe ou des OTP SMS.

Ce guide explique pourquoi les déploiements génériques de CIAM sans mot de passe stagnent à grande échelle, détaille l'architecture de référence à quatre couches qui élève systématiquement le taux d'utilisation des clés d'accès à plus de 60 %, et présente le coût total de possession (TCO) qu'un acheteur du Fortune 500 devrait anticiper à 500 000 MAU.

2. Pourquoi le sans mot de passe générique des CIAM stagne à grande échelle#

Le discours commercial autour du sans mot de passe converge : en 2026, chaque CIAM expose une API WebAuthn, chaque fournisseur vend du "sans mot de passe" dans ses offres, et chaque rapport d'analyste inclut les clés d'accès comme exigence de base. Le résultat, mesuré à 500 000 MAU, est constant. Le taux de connexion par clé d'accès oscille autour de 5 %, le volume des OTP SMS bouge à peine, et les économies prévues ne se matérialisent pas. La raison est souvent structurelle.

2.1 Le mythe de l'adoption des clés d'accès#

Le Passkey Benchmark 2026 de Corbado mesure quatre régimes de déploiement pour un même plafond de préparation web de 89 %. Une disponibilité via les paramètres uniquement produit un taux de connexion par clé d'accès inférieur à 1 %. Une simple incitation après la connexion le fait grimper à environ 4-5 %. Un enrôlement optimisé avec sollicitation adaptée à l'appareil atteint 23 %. Un flux de retour centré sur les clés d'accès avec création automatique et récupération basée sur l'identifiant dépasse les 60 %. Ce n'est pas le CIAM sous-jacent qui fait varier ces chiffres, mais bien la logique de sollicitation, la classification de l'appareil et la conception du parcours de connexion qui se superposent au CIAM.

La même entreprise exécutant la même instance Auth0 ou Cognito peut se retrouver à l'une ou l'autre extrémité de cette échelle, selon que son équipe intègre ou non, dans le frontend personnalisé, les modèles d'orchestration documentés par le benchmark. C'est le mythe de l'adoption : "la plateforme prend en charge les clés d'accès" n'équivaut pas à "la plateforme parvient à une adoption des clés d'accès à grande échelle".

2.2 La fragmentation des environnements matériels#

À 500 000 MAU sur une base de consommateurs B2C classique, la population d'appareils est tout sauf homogène. Le Corbado Passkey Benchmark 2026 mesure un enrôlement web du premier coup à 49-83 % sur iOS, 41-67 % sur Android, 41-65 % sur macOS, et seulement 25-39 % sur Windows.

Cet écart ne relève pas uniquement de la préférence de l'utilisateur. Il reflète l'écosystème technique. iOS intègre étroitement le navigateur, l'authentificateur et le fournisseur d'identifiants. Windows Hello n'est pas encore un parcours de Conditional Create et la sauvegarde des clés d'accès sur Edge n'est arrivée qu'à la fin de 2025. Un calcul réaliste doit prendre en compte ces aspects, y compris la sollicitation intelligente et l'usage multi-appareils entre mobile et desktop.

2.3 L'aveuglement avant la saisie de l'identifiant#

Dans l'authentification grand public, l'utilisateur est anonyme jusqu'à ce qu'il saisisse un e-mail ou un nom d'utilisateur. Si une sollicitation sans mot de passe le perturbe ou qu'un gestionnaire de mots de passe bloque le remplissage automatique avant qu'il n'atteigne ce stade, le backend n'enregistre rien. Les journaux standards des CIAM n'ont pas été conçus pour la télémétrie côté client, de sorte que les échecs qui freinent l'adoption à grande échelle échappent totalement au reporting du fournisseur d'identité, y compris aux logs backend.

3. L'échelle d'adoption des clés d'accès à 500 000 MAU#

Pour un déploiement B2C à 500 000 MAU sur une base de 2 millions d'utilisateurs, l'objectif opérationnel est de gravir les échelons de l'adoption plutôt que de changer de CIAM. Chaque niveau correspond à un modèle de déploiement spécifique, et non à un fournisseur différent.

Échelle d'adoption des clés d'accès (Corbado Passkey Benchmark 2026)

Le bond exponentiel devient évident lorsque l'on croise ce même plafond de préparation avec les quatre modèles de déploiement :

La plupart des déploiements natifs via CIAM s'arrêtent au niveau de Base, car c'est ce que fournissent les interfaces sans mot de passe prêtes à l'emploi : un simple bouton à bascule après la connexion, aucune sollicitation adaptée à l'appareil, aucune récupération basée sur l'identifiant pour les nouveaux appareils et aucune création automatique après une connexion via un mot de passe sauvegardé. Atteindre les niveaux Géré et Avancé nécessite des incitations d'enrôlement segmentées, le Conditional Create là où l'écosystème le permet (actuellement plus robuste sur iOS, viable sur macOS, fragmenté sur Android, contraint sur Windows) et une reconnaissance en un clic des appareils connus pour booster les connexions assistées.

4. Architecture de référence pour le B2C sans mot de passe à grande échelle#

Le sans mot de passe à grande échelle est une construction à quatre niveaux qui repose sur le CIAM comme fondation. Chaque niveau dépend architecturalement de celui du dessous — le diagramme suivant montre la pyramide et l'apport de chaque composant :

Chaque couche joue un rôle distinct. Le CIAM reste le système d'enregistrement. Une surcouche d'orchestration des clés d'accès gère la sollicitation intelligente. Une couche d'observabilité capture la cérémonie côté client. Une couche de secours absorbe les environnements qui ne peuvent pas terminer les flux de clés d'accès aujourd'hui. Les sections suivantes détaillent chacune de ces couches.

4.1 Couche d'identité : le CIAM comme système d'enregistrement#

Le CIAM conserve le dossier de l'utilisateur, la session, les jetons OAuth/OIDC, la connexion sociale, la politique MFA et le consentement. Pour les déploiements B2C de 500 000 MAU, les choix dominants restent Auth0, Amazon Cognito, Ping Identity, Ory, FusionAuth et les fournisseurs d'identité (IDP) conçus en interne autour de Keycloak. Ce choix est crucial pour les licences et l'intégration à l'écosystème, mais pas pour l'adoption des clés d'accès elle-même. Consultez l'évaluation complète des fournisseurs CIAM 2026 pour connaître les niveaux de prix, le support de l'identité des agents d'IA et le TCO à 500 000 MAU.

4.2 Couche d'orchestration des clés d'accès#

C'est dans la couche d'orchestration que le sans mot de passe à grande échelle se gagne ou se perd. Elle intercepte l'événement d'authentification avant que la sollicitation WebAuthn ne se déclenche, classifie le matériel de l'appareil, l'OS, le navigateur et le fournisseur d'identifiants, puis achemine l'utilisateur vers un parcours adapté à cet environnement.

Dans la pratique, à 500 000 MAU, la couche d'orchestration est presque toujours une implémentation frontend sur mesure qui se place devant le CIAM pour afficher une interface de connexion spécifique. Le CIAM sous-jacent continue de gérer le stockage des identifiants, les sessions et OAuth/OIDC, mais l'équipe garde le contrôle du point d'entrée, de la logique de sollicitation basée sur l'appareil et du flux de récupération. La raison est structurelle : les équipes B2C d'entreprise ont besoin d'un contrôle total sur l'image de marque, sur les textes cruciaux pour la conversion, sur l'A/B testing et sur les règles de segmentation qui déterminent quel utilisateur voit quelle sollicitation. Une page de connexion fournie par un vendeur tolère rarement ce niveau de personnalisation à grande échelle.

Les modèles concrets que la couche d'orchestration sur mesure doit implémenter :

• Classification de l'appareil et de ses capacités : sonder le matériel, l'OS, le navigateur et le fournisseur d'identifiants avant de déclencher une sollicitation WebAuthn, afin que les utilisateurs naviguant sur des environnements connus pour échouer soient détournés des cérémonies sans issue.
• Conditional Create : enregistrer automatiquement une clé d'accès après une connexion assistée par un gestionnaire de mots de passe sur les environnements compatibles, ce qui supprime totalement l'invite d'enrôlement explicite sur iOS et les configurations macOS viables.
• Flux de retour en un clic : reconnaître les appareils déjà venus via des signaux de confiance respectueux de la vie privée et offrir une authentification par clé d'accès en un seul clic lors de la visite suivante.
• Récupération axée sur l'identifiant : rediriger les utilisateurs Windows, où le benchmark mesure que 40 à 65 % des succès de clés d'accès axés sur l'identifiant s'effectuent encore via un smartphone via l'authentification multi-appareils (Cross-Device Authentication), vers des parcours de récupération différents de ceux des utilisateurs iOS ou Android, pour lesquels ce taux n'est que de 0 à 10 %.
• Déploiement graduel : cibler par version d'OS, géographie ou segment d'utilisateurs, et proposer des solutions de repli intelligentes sans nécessiter de mises à jour de l'application.

Construire cette couche en interne est la norme à 500 000 MAU, car la plupart des grands déploiements B2C opèrent déjà un frontend sophistiqué et un design system interne dont le flux de connexion doit hériter. Le compromis réside dans le coût d'ingénierie continu pour rester à jour avec les évolutions des navigateurs, OS et fournisseurs d'identifiants. Pour les équipes qui préfèrent acheter cette couche plutôt que de la construire, Corbado Connect propose sous forme de produit ces mêmes modèles d'orchestration sous la forme d'une surcouche applicable à n'importe quel CIAM, sans migration de la base de données utilisateurs. Chacune de ces approches hisse l'enrôlement par clé d'accès vers le plafond de plus de 80 % du scénario Avancé et permet des réductions de 60 à 90 % des coûts des OTP SMS, dont l'effet se démultiplie à grande échelle.

4.3 Couche d'observabilité de l'authentification#

À 500 000 MAU, la question posée à chaque RSSI, CTO ou Product Owner gérant du sans mot de passe est simple : "Quel est notre taux de réussite de bout en bout ? Pourquoi les utilisateurs abandonnent-ils lors de l'enrôlement ? Devrions-nous passer de 10 % à 50 % ? Pouvez-vous montrer l'impact à la direction ?" Aujourd'hui, dans la plupart des grands déploiements B2C, la réponse honnête est "nous ne savons pas" — non pas parce que les données n'existent pas, mais parce qu'elles se trouvent dans cinq systèmes distincts qui n'ont jamais été conçus pour être reliés autour d'une cérémonie de clés d'accès.

La pile logicielle d'entreprise classique couvre chaque élément individuellement :

• La plateforme frontend de contenu et d'expérience voit les pages vues, les variantes de contenu et les événements de l'entonnoir au niveau marketing, mais pas la cérémonie WebAuthn elle-même.
• Le serveur FIDO ou WebAuthn connaît le résultat de l'enregistrement et de l'assertion des identifiants, mais ignore ce qui s'est passé sur l'appareil avant ou après.
• L'APM backend analyse la latence des API et les traces, mais ne peut pas faire la différence entre un abandon par l'utilisateur et un délai biométrique expiré.
• Les journaux d'orchestration du fournisseur d'identité indiquent quelle politique s'est déclenchée et quelle étape du flux a été atteinte, mais n'expliquent pas pourquoi la superposition du navigateur n'est jamais apparue.
• Le SIEM analyse les événements de sécurité backend, mais les échecs qui ruinent l'adoption des clés d'accès se produisent sur le client avant qu'aucune requête backend ne soit émise.

Le schéma ci-dessous illustre ces silos par rapport aux questions sans réponse et à la surface où la connexion par clé d'accès a réellement lieu :

Chacun de ces outils est le meilleur de sa catégorie, mais aucun ne répond seul aux questions posées. Les réponses se trouvent dans le fossé qui les sépare. Les trois points de mesure de la Conditional UI illustrent l'ampleur de ce fossé : le succès des clés d'accès côté serveur semble presque parfait à 97-99 %, le taux de finalisation côté utilisateur est de 90-95 %, tandis que le taux d'interaction avec la première suggestion, où les utilisateurs abandonnent réellement, se situe entre 55 et 90 %. Les outils backend classiques ne peuvent pas voir cet écart de 35 points entre le premier et le dernier point de mesure.

Corbado Observe est le seul produit qui combine ce que chacune des catégories ci-dessus peut voir individuellement. Il capture l'intégralité de la cérémonie côté client avec le contexte matériel fourni par le frontend, l'associe au résultat de l'identifiant enregistré par le serveur FIDO, classifie le type d'erreur que l'APM ne peut pas interpréter et consolide le tout dans un entonnoir unique et un historique par utilisateur. Cette couche est livrée sous forme de SDK léger qui se superpose à n'importe quel serveur WebAuthn, quel que soit le CIAM, et ne requiert aucune migration de l'IDP :

• Analyses de l'entonnoir et du parcours : visibilité sur les points de décision lors de l'enrôlement, la connexion, le repli et les flux d'ajout, avec des abandons ventilés par appareil, OS et navigateur — la réponse à "pourquoi les utilisateurs abandonnent-ils lors de l'enrôlement".
• Historique de débogage par utilisateur : recherchez un utilisateur, rejouez la cérémonie, voyez les transitions exactes derrière un échec — le temps de débogage passe d'environ 14 jours à environ 5 minutes.
• Informations sur la préparation : préparation du navigateur, de l'OS, du fabricant (OEM) et de l'authentificateur segmentée par cohorte et par phase de déploiement, afin que les décisions de suppression et d'accélération soient fondées sur des données plutôt que réactives.
• Classification intelligente des erreurs : fait la distinction entre les annulations d'utilisateurs, les délais biométriques, les interférences d'un gestionnaire de mots de passe, les annulations répétées et les véritables incompatibilités matérielles, avec une classification automatique de plus de 100 types d'erreurs WebAuthn.
• Rapports pour les parties prenantes : tableaux de bord prouvant les économies liées aux SMS et l'amélioration de la conversion au directeur financier, avec une analyse assistée par IA des modèles de déploiement et des prochaines corrections — la réponse à "pouvez-vous montrer l'impact à la direction".

Corbado Observe utilise une architecture sans données personnelles, basée uniquement sur des UUID (conforme au RGPD), et constitue la couche qui transforme les quatre questions du conseil d'administration en indicateurs de performance clés (KPI) mesurables.

4.4 Couche de secours et de récupération#

Même au niveau Avancé, environ 11 % des tentatives ne complèteront pas un flux de clés d'accès du premier coup. La couche de secours doit accepter cette réalité sans se rabattre par défaut sur un mot de passe. Voici les modèles qui fonctionnent à 500 000 MAU :

• L'authentification multi-appareils via QR code : comble la lacune de Windows et fait le pont depuis le bureau vers un smartphone contenant déjà une clé d'accès.
• Lien magique ou OTP par e-mail : conservé comme facteur secondaire avec un budget de friction délibéré, afin que son utilisation reste inférieure à 5 % des connexions mensuelles.
• Les OTP SMS en voie d'extinction : appliqués uniquement en cas d'événements à risque signalés, et non comme remplacement principal du mot de passe, pour capturer les 60 à 90 % de réduction des coûts à grande échelle.
• Récupération du compte via un deuxième e-mail vérifié ou une vérification d'identité : évite les boucles de réinitialisation de la clé de sécurité qui nuisent à la productivité du support client.

5. TCO du sans mot de passe à grande échelle#

Les évaluations d'achat axées sur les frais de licence sous-estiment le véritable coût du sans mot de passe à grande échelle d'environ un ordre de grandeur. Les trois facteurs à 500 000 MAU sont les frais de plateforme, l'effort d'implémentation et la maintenance continue.

Les frais de plateforme varient considérablement. Auth0 se situe entre 15 000 et 30 000 USD/mois à 500 000 MAU pour les contrats d'entreprise déclarés par l'industrie. Le niveau Essentials de Cognito, compatible avec les clés d'accès, s'élève à environ 7 300 USD/mois, mais cache des frais généraux d'ingénierie. Le B2C Essentials de Stytch et Clerk se situent respectivement autour de 4 900 USD et 9 000 USD.

L'effort d'implémentation est le coût négligé. Construire des clés d'accès nativement sur une plateforme CIAM à 500 000 MAU prend environ 25 à 30 mois ETP : environ 5,5 mois ETP pour le produit, 14 mois ETP pour le développement et 8 mois ETP pour l'assurance qualité (QA). Les plateformes dotées d'une interface utilisateur (UI) sans mot de passe pré-intégrée réduisent ce temps à 5-10 mois ETP, mais exigent toujours un travail d'optimisation de l'adoption. Les plateformes axées sur l'API (API-first) comme Ory obligent à construire toute l'expérience utilisateur depuis zéro.

La maintenance continue est le multiplicateur caché du TCO. Les cérémonies de clés d'accès doivent être testées en permanence avec les nouvelles versions d'OS, les mises à jour de navigateurs et les bugs spécifiques aux fabricants (OEM). Prévoyez environ 1,5 ETP/an pour les opérations post-lancement : gestion des déploiements, re-tests multiplateformes, mises à jour des métadonnées et formation du support. Sur les plateformes nécessitant une UI personnalisée, ajoutez 1 à 2 ETP supplémentaires pour la seule maintenance du frontend.

6. Acheter ou construire le sans mot de passe à grande échelle#

Pour les organisations à 500 000 MAU et au-delà, le choix est rarement d'"acheter un nouveau CIAM". Le CIAM actuel est déjà intégré à la facturation, à la prévention des fraudes, au marketing et aux analyses. Le véritable choix se situe un cran plus haut : faut-il développer l'orchestration et l'observabilité en interne ou opter pour une surcouche spécialisée ?

Les arguments économiques "Acheter vs Construire" pour la couche d'orchestration à 500 000 MAU favorisent systématiquement son achat. Un développement interne consomme 25 à 30 mois ETP, puis 1,5 à 3 ETP par an pour l'exploitation, avec un taux de connexion par clé d'accès souvent bloqué aux niveaux de Base ou Géré, car l'équipe ne parvient pas à suivre le rythme de sortie des navigateurs et des OS. L'option de la surcouche nécessite un projet d'intégration mesuré en semaines, et hérite continuellement des améliorations de la plateforme au fur et à mesure que l'écosystème évolue.

L'équation "Acheter vs Construire" change encore pour les entreprises ayant déjà déployé des clés d'accès nativement et bloquées au niveau de Base. Dans ce cas, l'action ayant le meilleur effet de levier consiste à ajouter uniquement la couche d'observabilité, à identifier les points de chute, puis à décider si l'écart restant sera comblé en interne ou via une surcouche d'orchestration.

7. Plan de déploiement pour le B2C sans mot de passe à grande échelle#

Le modèle de déploiement qui atteint de façon constante le niveau Avancé à 500 000 MAU suit un processus en quatre phases :

1. Instrumenter d'abord : déployez l'observabilité de l'authentification avant de modifier les incitations. Identifiez votre niveau de Base actuel, segmenté par OS, navigateur et fournisseur d'identifiants, de sorte que chaque changement ultérieur soit évalué par rapport à une courbe réelle et non sur une simple estimation de la direction.
2. Segmenter la population d'appareils : classifiez la cohorte en sondant les capacités du client. Identifiez les sous-populations Windows, Android et iOS et leurs modes d'échec spécifiques.
3. Déployer une incitation intelligente et le Conditional Create : redirigez chaque cohorte vers son parcours d'enrôlement le plus performant. Supprimez les incitations sur les environnements dont le benchmark et votre propre télémétrie prévoient l'échec. Convertissez les connexions assistées par gestionnaire de mots de passe en créations automatiques de clés d'accès là où le système le permet.
4. Passer à un retour axé sur les clés d'accès : une fois l'enrôlement à 65 % ou plus et l'utilisation en hausse, passez par défaut à une authentification en un clic par clé d'accès pour les utilisateurs récurrents, avec une récupération basée sur l'identifiant pour les nouveaux appareils. C'est à ce niveau que la courbe des coûts liés aux OTP SMS s'infléchit.

8. Conclusion#

Le sans mot de passe pour le B2C à grande échelle est un défi d'orchestration, et non un problème de choix de CIAM. L'offre des fournisseurs en 2026 a comblé les lacunes concernant la prise en charge de WebAuthn, mais l'écart entre un taux de connexion par clé d'accès de 5 % et un taux supérieur à 60 % réside dans les couches d'orchestration et d'observabilité qui viennent s'ajouter au-dessus de l'IDP. À 500 000 MAU, c'est ce qui fait la différence entre un test pilote au point mort et une transition vers le sans mot de passe qui génère de 50 000 à 100 000 USD (ou plus) d'économies annuelles sur les SMS, améliore la conversion lors du paiement et élimine le plus grand vecteur de piratage de compte restant.

Pour les acheteurs du Fortune 500 exploitant déjà un CIAM, l'action ayant le meilleur retour sur investissement est d'instrumenter, de segmenter et d'orchestrer — et non de migrer. Corbado Observe rend visible votre niveau d'adoption actuel. Corbado Connect comble l'écart pour atteindre le niveau Avancé en s'ajoutant à votre CIAM existant. Ensemble, ils transforment le sans mot de passe à grande échelle, le faisant passer d'une promesse commerciale à un KPI véritablement déployé.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions (FAQ)#

Que nécessite réellement le sans mot de passe pour le B2C à grande échelle ?#

Le sans mot de passe pour le B2C à grande échelle nécessite quatre couches superposées : un CIAM comme système d'enregistrement, une couche d'orchestration des clés d'accès qui classifie l'appareil, l'OS, le navigateur et le fournisseur d'identifiants avant de solliciter WebAuthn, une couche d'observabilité qui capture la cérémonie côté client et une couche de secours pour les utilisateurs sur des environnements ne pouvant pas compléter les flux de clés d'accès. La plupart des plateformes CIAM ne fournissent que la première couche, ce qui explique pourquoi les déploiements natifs stagnent à 5 ou 10 % d'adoption.

Pourquoi les déploiements B2C sans mot de passe à 500 000 MAU stagnent-ils à un faible taux d'adoption ?#

Les interfaces génériques sans mot de passe des CIAM sollicitent tous les utilisateurs de la même manière, mais l'enregistrement d'une clé d'accès web au premier essai varie de 49 à 83 % sur iOS à 25 à 39 % sur Windows selon le Corbado Passkey Benchmark 2026. Sans segmentation matérielle, sans sollicitation intelligente ni récupération axée sur l'identifiant, les déploiements atteignent en moyenne 5 à 10 % de taux de connexion par clé d'accès, même lorsque la plateforme prend techniquement en charge WebAuthn.

Quel est le TCO pour créer une solution B2C sans mot de passe de zéro à 500 000 MAU ?#

Créer des clés d'accès nativement sur une plateforme CIAM à 500 000 MAU nécessite généralement 25 à 30 mois ETP répartis entre le produit, le développement et l'assurance qualité (QA), plus 1,5 ETP par an pour la maintenance continue. À cette échelle, les frais de plateforme varient d'environ 4 900 USD par mois pour Stytch B2C Essentials à 15 000-30 000 USD par mois pour les contrats d'entreprise Auth0, le niveau Essentials compatible clés d'accès de Cognito se situant autour de 7 300 USD et Clerk autour de 9 000 USD. Le coût caché est celui des re-tests multiplateformes au rythme des mises à jour d'iOS, Android, Windows et macOS.

Quel modèle d'architecture fonctionne le mieux pour le sans mot de passe à plus d'un million d'utilisateurs ?#

À plus d'un million d'utilisateurs, le modèle dominant est un CIAM avec une surcouche d'orchestration des clés d'accès. Le CIAM reste le système de référence et la couche d'orchestration gère la classification des appareils, le Conditional Create, la récupération basée sur l'identifiant et l'analyse de l'adoption. Cela évite la migration de la base de données utilisateurs, préserve les investissements SIEM et APM existants et permet une réduction de 60 à 90 % des coûts SMS, un gain qui se multiplie à grande échelle.