J'ai récemment accompagné plusieurs organisations dans le passage à l'authentification sans mot de passe — les fameuses passkeys. Pour des structures de 500 à 5 000 utilisateurs, la question cruciale n'est pas seulement « est-ce sécurisé ? » mais « comment le déployer sans dégrader l'expérience utilisateur ni exploser les coûts opérationnels ? ». Dans cet article, je partage une approche pragmatique, basée sur des retours de terrain, des choix d'outillage et des recommandations concrètes que vous pourrez adapter à votre contexte.

Pourquoi les passkeys maintenant ?

Les passkeys (basées sur FIDO2 / WebAuthn) éliminent les mots de passe, réduisent le phishing et simplifient la vie des utilisateurs. Les grands écosystèmes — Apple (iCloud Keychain), Google, Microsoft — prennent désormais en charge les passkeys, ce qui facilite l'adoption pour les utilisateurs sur smartphones et navigateurs modernes. Pour une organisation moyenne (quelques centaines à quelques milliers d'utilisateurs), cela signifie un gain immédiat en sécurité et une baisse des coûts liés au support des réinitialisations de mot de passe.

Premiers choix à faire avant de lancer

Avant toute chose, clarifiez ces points :

  • Quel est le périmètre d'authentification concerné ? (web, mobile, VPN, SSO)
  • Allez-vous adopter une approche progressive (coexistence mot de passe + passkey) ou un basculement complet ?
  • Quel est votre fournisseur d'identité (IdP) actuel ? Supporte-t-il WebAuthn nativement (Okta, Auth0, Azure AD, Google Workspace) ?
  • Quel niveau d'assistance offline ou hardware tokens voulez-vous offrir (YubiKey, Feitian) ?

    • Mon conseil : opter pour un déploiement progressif. Laisser la coexistence permet d'itérer sur l'UX, de répondre aux cas particuliers (machines legacy, utilisateurs non compatibles) et de mesurer l'impact avant un rollback éventuel.

    Architecture cible et intégration avec l'IdP

    Pour une flotte de 500–5 000 utilisateurs, je recommande d'intégrer les passkeys directement via votre IdP ou plateforme SSO. Avantages :

  • Centralisation des politiques d'authentification
  • Compatibilité avec MFA et politiques d'accès conditionnel
  • Simplification du déploiement (moins de changements applicatifs)

    • Exemples : Okta et Auth0 offrent aujourd'hui des workflows WebAuthn prêts à l'emploi. Azure AD et Google Workspace proposent des options d'enregistrement et d'authentification passkey, parfois derrière des configurations de sécurité avancée.

    Stratégie de déploiement en 4 phases

    J'aime structurer le projet en quatre phases claires :

  • Pilotage (2–4 semaines) : sélection d'un groupe pilote (50–200 utilisateurs représentatifs : IT, support, sales, mobile-first). Objectif : valider le flux d'enregistrement, les scénarios de récupération et mesurer les problèmes.
  • Adoption progressive (1–3 mois) : ouverture à 20–30% des utilisateurs par vagues, ajustements UX, documentation et formation du support. Activation du reporting d'erreurs et suivi des tickets.
  • Basculage large (1–2 mois) : invitation active pour le reste des utilisateurs, configuration de politiques d'accès conditionnel favorisant les passkeys (mais sans bloquer immédiatement les mots de passe).
  • Renforcement (continu) : décommissionnement progressif des mots de passe si la compatibilité et l'adoption le permettent, gestion des exceptions (machines legacy, comptes partagés).

    • Expérience utilisateur : principes à garder

    La meilleure sécurité est inutile si l'UX est mauvaise. Voici les règles que j'applique systématiquement :

  • Simplifier l'enregistrement : guide pas à pas, messages clairs sur ce qu'est une passkey et comment elle se synchronise entre appareils.
  • Offrir plusieurs options : passkeys synchronisées via iCloud/Google, clés matérielles comme YubiKey, ou authentification contextuelle via smartphone.
  • Gérer la récupération : prévoir une voie de secours sûre (authentification multi-facteurs administrée, code d'urgence, support humain avec vérification identitaire).
  • Limiter les frictions : éviter les demandes répétées d'enregistrement, utiliser des cookies/jetons longtemps valides quand le contexte l'autorise.

    • Cas particulier : comptes partagés et postes non-personnels

    Les passkeys reposent sur des secrets liés aux appareils/identités individuelles. Pour les comptes partagés (ex : borne d'accueil, poste de réception) vous avez deux options :

  • Utiliser des comptes de service avec authentification basée sur certificats ou tokens machine (PKI).
  • Maintenir des méthodes traditionnelles (mot de passe ou token SSO) pour ces cas précis, mais les isoler dans des politiques dédiées.

    • Gestion des incidents et récupération

    La crainte la plus fréquente est la perte d'un appareil. Il faut des procédures robustes :

  • Encourager l'enregistrement de plusieurs passkeys (téléphone + clé matérielle) dès l'inscription.
  • Mettre en place un workflow de récupération piloté par le service support : vérification forte de l'identité, suppression des clés perdues, enregistrement d'une nouvelle passkey.
  • Pour les comptes à haute sensibilité, conserver des codes de récupération à usage unique ou des politiques de validation additionnelle (vérification par document).

    • Outils et fournisseurs que j'ai testés

    Voici quelques options que j'ai utilisées et recommandées selon les besoins :

  • Okta / Auth0 : intégration WebAuthn simple pour SSO, bonnes options de reporting.
  • Azure AD / Google Workspace : pratiques si vous êtes déjà engagé dans ces écosystèmes.
  • YubiKey (Yubico) : solution hardware robuste pour les utilisateurs à risque élevé.
  • Libs Web : WebAuthn API (browser-native) pour besoins applicatifs spécifiques.
    • TypeAvantageLimite
    Passkeys synchronisées (iCloud/Google)Très facile pour l'utilisateurDépendance à l'écosystème fournisseur
    Clés matérielles (YubiKey)Très sécurisée, phishing-proofCoût matériel, gestion logistique
    SSO/IdP natifCentralise politiques et logsPeut nécessiter licences ou upgrades

    Métriques à suivre

    Pour piloter, je surveille :

  • Taux d'enregistrement de passkeys par utilisateur
  • Taux d'activation par segment (mobile vs desktop)
  • Tickets support relatifs à l'authentification (volumes et temps de résolution)
  • Incidents de sécurité évités (phishing réussi, compromission mot de passe)

    • Pièges fréquents et comment les éviter

    Voici ce que j'ai vu foirer et comment l'anticiper :

  • Pas de plan de récupération clair → Support saturé. Antidote : workflows documentés et personnel formé.
  • Communication insuffisante → Résistance des utilisateurs. Antidote : campagnes de sensibilisation, démonstrations et FAQ.
  • Ignorer les cas legacy → Blocages inattendus. Antidote : cartographie des systèmes non compatibles et stratégies alternatives.

    • Déployer des passkeys pour 500 à 5 000 utilisateurs est parfaitement réalisable et souvent très rentable sur le moyen terme. L'essentiel est de concevoir une transition progressive, centrée sur l'expérience utilisateur, avec des mécanismes de secours fiables et une intégration via votre IdP. Si vous voulez, je peux vous aider à esquisser un plan de déploiement adapté à votre parc et vos usages — avec une feuille de route technique et une checklist opérationnelle. Il suffit de me dire où vous en êtes aujourd'hui.