Aller au contenu principal

Mot de passe ou passkey : la fin annoncée d'une époque

Mot de passe ou passkey : la fin annoncée d'une époque
Publié le 11 May 2026

Les entreprises gèrent en moyenne plusieurs centaines de mots de passe par collaborateur, selon les études récentes menées dans le secteur B2B. Cette multiplication des identifiants se traduit par une charge administrative considérable pour les services informatiques et un risque de sécurité croissant. La réinitialisation des mots de passe oubliés représente un volume d'appels qui mobilise des ressources équivalant parfois à un ETP complet dans les structures de taille moyenne.

L'arrivée des passkeys, portée par l'Alliance FIDO et intégrée progressivement par les principaux éditeurs de systèmes d'exploitation, propose une alternative fondée sur la cryptographie asymétrique. Cette technologie promet de supprimer les risques liés au phishing, à la réutilisation d'identifiants et aux fuites de bases de données. Pourtant, deux ans après les premières annonces médiatisées, le déploiement reste marginal dans le monde professionnel.

Cette adoption limitée s'explique par des contraintes techniques, organisationnelles et culturelles qui dépassent la simple question de la sécurité. Pour les responsables marketing et les directions commerciales B2B, la transition vers les passkeys soulève également des interrogations sur l'expérience client, la friction dans les parcours de conversion et la capacité à maintenir la traçabilité des actions tout au long du tunnel d'acquisition.

Comprendre les mécanismes sous-jacents des passkeys, identifier les freins concrets à leur adoption et mesurer leur impact potentiel sur les processus métiers devient indispensable pour anticiper les évolutions à venir dans la gestion de l'identité numérique.

Le fonctionnement cryptographique des passkeys expliqué simplement

Une passkey s'appuie sur le principe de la cryptographie asymétrique, utilisé depuis des décennies dans les échanges sécurisés mais rarement appliqué à l'authentification grand public. Lors de la création d'un compte sur un service compatible, l'appareil de l'utilisateur génère automatiquement une paire de clés mathématiquement liées : une clé publique et une clé privée.

La clé publique est transmise au serveur du service en ligne et y reste stockée. Elle peut être consultée, copiée ou même exposée publiquement sans danger, puisqu'elle ne permet que de vérifier une signature, jamais de la produire. La clé privée, elle, demeure strictement confinée dans l'appareil de l'utilisateur : smartphone, ordinateur portable, clé de sécurité physique ou gestionnaire de mots de passe compatible.

Lors d'une connexion ultérieure, le serveur envoie un défi aléatoire à l'appareil. Celui-ci signe ce défi avec la clé privée, produisant une signature unique qui prouve la possession de la clé sans jamais la révéler. Le serveur vérifie ensuite cette signature avec la clé publique qu'il détient. Si la vérification réussit, l'authentification est validée.

Le déverrouillage de la clé privée s'effectue localement par reconnaissance biométrique ou par saisie d'un code PIN. Aucune donnée biométrique ne transite vers un serveur externe : l'empreinte digitale ou le scan facial reste dans l'enclave sécurisée du processeur. Cette architecture répond aux préoccupations légitimes autour de la collecte centralisée de données sensibles.

Les standards techniques qui soutiennent cette évolution

Le protocole WebAuthn, ratifié par le W3C en 2019, constitue la fondation technique des passkeys. Ce standard ouvert définit comment les navigateurs et les applications interagissent avec les dispositifs d'authentification. L'Alliance FIDO, regroupant plus de 250 organisations dont Microsoft, Apple, Google, Meta et des acteurs bancaires majeurs, assure la cohérence des implémentations.

Cette standardisation distingue les passkeys des tentatives précédentes d'élimination des mots de passe, souvent portées par un seul acteur et incompatibles entre plateformes. Un utilisateur peut théoriquement créer une passkey sur un appareil Apple et l'utiliser pour se connecter depuis un navigateur Chrome sur Windows, sous réserve que les deux écosystèmes synchronisent correctement les clés.

Les vulnérabilités structurelles du mot de passe traditionnel

Les rapports annuels de l'ANSSI documentent régulièrement que la compromission d'identifiants représente le vecteur d'attaque initial dans environ 45% des incidents de sécurité analysés. Ce constat se vérifie dans tous les secteurs, des PME aux grands groupes industriels. La faiblesse ne réside pas uniquement dans la complexité des mots de passe choisis, mais dans leur nature même : une information partagée qui doit transiter entre l'utilisateur et le serveur.

La réutilisation des identifiants entre plusieurs services constitue le premier facteur de risque. Une étude menée en 2022 par un consortium d'universités européennes a révélé que 67% des utilisateurs professionnels réutilisent au moins un mot de passe sur plusieurs plateformes métiers. Quand une base de données d'un service tiers est compromise, les pirates testent systématiquement ces identifiants sur d'autres services populaires.

Le phishing ciblé, ou spear phishing, contourne toutes les politiques de complexité. Un email convaincant, imitant fidèlement l'interface d'un outil SaaS habituel, suffit pour que l'utilisateur saisisse spontanément ses identifiants sur un faux formulaire. Les gestionnaires de mots de passe offrent une protection partielle : ils détectent parfois une URL suspecte, mais ne bloquent pas systématiquement la saisie manuelle.

L'impact sur les parcours d'acquisition B2B

Pour les plateformes B2B, la multiplication des exigences de sécurité autour des mots de passe crée une friction mesurable dans les parcours de conversion. Imposer douze caractères avec majuscules, chiffres et caractères spéciaux augmente mécaniquement le taux d'abandon lors de la création de compte. Les études d'UX dans le secteur SaaS montrent qu'une étape supplémentaire de validation par email peut réduire le taux de complétion de 15 à 25%.

Cette tension entre sécurité et expérience utilisateur impacte directement les indicateurs d'acquisition. Les équipes marketing doivent arbitrer entre une barrière à l'entrée élevée qui protège les données et un parcours fluide qui maximise les conversions. Les passkeys promettent de résoudre cette équation en combinant une sécurité renforcée avec une expérience simplifiée, une fois la phase d'apprentissage passée.

Le coût économique caché de la gestion des mots de passe

Les analyses de TCO (Total Cost of Ownership) menées par les cabinets spécialisés en infrastructure IT évaluent le coût moyen d'une réinitialisation de mot de passe entre 40 et 70 euros, en intégrant le temps du support de niveau 1, la perte de productivité de l'utilisateur et l'amortissement des outils de gestion. Dans une organisation de 150 collaborateurs, on observe statistiquement entre 200 et 400 demandes annuelles.

Ce volume représente un budget annuel compris entre 8 000 et 28 000 euros uniquement consacré à résoudre des oublis. Ces chiffres n'incluent pas les coûts indirects : retard dans la livraison d'un dossier parce qu'un commercial ne pouvait plus accéder au CRM, impossibilité de participer à une visioconférence faute d'accès à l'outil de réunion, ou blocage d'une validation administrative.

Les politiques de renouvellement régulier des mots de passe, longtemps recommandées par les normes de sécurité, amplifient ce phénomène. Obliger les utilisateurs à changer leur mot de passe tous les trois mois génère mécaniquement plus d'oublis, sans amélioration démontrée de la sécurité. Le NIST américain a d'ailleurs retiré cette recommandation de ses guidelines en 2017, reconnaissant qu'elle produisait l'effet inverse de celui recherché.

Les coûts cachés pour les équipes marketing et commerciales

Dans un contexte B2B, l'impossibilité d'accéder rapidement aux outils métiers impacte directement la performance commerciale. Un responsable marketing qui ne peut plus se connecter à sa plateforme d'automation pendant une demi-journée perd le pilotage de campagnes en cours. Un commercial bloqué hors de son CRM juste avant un rendez-vous client perd l'accès à l'historique des interactions et arrive moins préparé.

Ces micro-interruptions se cumulent et dégradent progressivement l'efficacité opérationnelle. Les passkeys, en supprimant le risque d'oubli et en accélérant le processus de connexion, promettent de libérer du temps utilisable pour des tâches à valeur ajoutée. La question devient alors de mesurer si les gains théoriques se concrétisent dans les usages réels.

Les freins concrets au déploiement dans les organisations

Malgré les avantages techniques, les déploiements de passkeys en environnement professionnel restent limités. Les études de marché menées fin 2023 estimaient que moins de 8% des entreprises européennes avaient initié un projet d'adoption, et moins de 2% l'avaient déployé à l'échelle.

Le premier obstacle tient à la compatibilité logicielle. Une entreprise type utilise en moyenne une quinzaine d'applications métiers distinctes : ERP, CRM, outils de gestion de projet, plateformes de communication, suites bureautiques, logiciels sectoriels spécifiques. Beaucoup de ces applications, notamment les logiciels on-premise développés il y a plus de cinq ans, ne supportent pas le protocole WebAuthn et nécessiteraient des développements coûteux pour l'intégrer.

La coexistence entre passkeys et mots de passe pendant une période de transition crée une complexité opérationnelle. Les utilisateurs doivent retenir quel service utilise quelle méthode d'authentification, ce qui génère confusion et appels au support. Les équipes IT doivent maintenir deux systèmes parallèles, avec leurs procédures respectives de provisionnement, de récupération et de révocation.

La question de la portabilité entre écosystèmes

Un collaborateur qui utilise un iPhone personnel, un ordinateur portable professionnel sous Windows et occasionnellement une tablette Android se heurte à la fragmentation des trousseaux de clés. Apple synchronise les passkeys via iCloud Keychain, Google via Password Manager, Microsoft via Microsoft Account. Chaque écosystème fonctionne efficacement en interne, mais l'interopérabilité reste imparfaite.

Les gestionnaires de mots de passe tiers (1Password, Bitwarden, Dashlane, Keeper) ont ajouté le support des passkeys pour combler ce fossé. Ils offrent une synchronisation cross-platform, mais ajoutent un abonnement supplémentaire et une couche de complexité dans l'architecture de sécurité. Pour les directions informatiques, la question devient : accepter la fragmentation avec les solutions natives, ou standardiser sur un gestionnaire tiers avec les coûts et risques associés ?

Les enjeux de gouvernance et de continuité d'activité

La gestion des départs collaborateurs illustre un autre défi. Avec un mot de passe, la procédure de révocation est bien établie : désactivation du compte, changement immédiat des accès partagés si nécessaire. Avec une passkey, la clé privée reste sur l'appareil de l'utilisateur. Si cet appareil est un smartphone personnel, l'entreprise n'a aucun moyen technique de supprimer la clé.

Cette situation impose une réflexion préalable sur la politique BYOD (Bring Your Own Device) et sur la séparation entre équipements personnels et professionnels. Les solutions de MDM (Mobile Device Management) permettent de gérer des passkeys professionnelles sur des appareils personnels, mais au prix d'une intrusivité que tous les collaborateurs n'acceptent pas.

Les scénarios de continuité d'activité doivent également être repensés. Quand un administrateur système clé est absent ou indisponible, les procédures d'urgence traditionnelles permettaient, dans certaines configurations, un accès de secours via un mot de passe partagé ou stocké en coffre-fort. Les passkeys, strictement liées à un individu et un appareil, rendent cette pratique impossible. Des mécanismes de récupération multi-signatures ou de délégation temporaire doivent être mis en place en amont.

Les stratégies de déploiement progressif observées sur le terrain

Les organisations les plus avancées adoptent une approche par cercles concentriques. Elles commencent par déployer les passkeys sur un périmètre restreint : équipe IT, puis équipes métiers volontaires, avant une généralisation. Cette progression permet d'identifier les points de friction spécifiques à l'environnement technique et culturel de l'entreprise.

Le choix des services à migrer en priorité s'avère déterminant. Les applications web accessibles via navigateur offrent une compatibilité native avec WebAuthn et constituent souvent le premier cercle. Les outils SaaS leaders (Microsoft 365, Google Workspace, Salesforce, HubSpot) supportent les passkeys depuis 2022-2023, ce qui facilite l'adoption pour les fonctions support et commerciales.

Les applications mobiles nécessitent des développements spécifiques et suivent généralement avec un trimestre ou deux de décalage. Les logiciels on-premise, particulièrement dans les secteurs industriels ou bancaires, accusent souvent plusieurs années de retard. Certaines entreprises maintiennent une infrastructure d'authentification hybride pour une période prolongée, avec un SSO (Single Sign-On) qui masque la coexistence des deux systèmes aux utilisateurs finaux.

Le rôle des gestionnaires de mots de passe dans la transition

Les gestionnaires de mots de passe professionnels jouent un rôle de pont dans cette transition. Des solutions comme 1Password, Bitwarden Enterprise ou Keeper ont intégré le support complet des passkeys tout en conservant la gestion des mots de passe traditionnels. Cette dualité permet aux entreprises de migrer progressivement sans rupture brutale.

Ces outils offrent également des fonctionnalités d'administration centralisée : provisionnement automatique des passkeys lors de l'onboarding, révocation lors des départs, reporting sur l'adoption par service. Les dashboards permettent aux RSSI de suivre la progression du déploiement et d'identifier les applications qui restent dépendantes des mots de passe.

Le coût de ces solutions varie entre 4 et 8 euros par utilisateur et par mois selon les volumes et les fonctionnalités. Ce budget s'amortit rapidement quand on le compare au coût des réinitialisations évitées, mais impose une ligne budgétaire supplémentaire que toutes les PME ne sont pas prêtes à assumer.

L'impact sur l'expérience utilisateur et les parcours clients B2B

Pour les entreprises qui exposent des plateformes clients ou des portails partenaires, la question de l'authentification dépasse le périmètre interne. L'adoption des passkeys modifie l'expérience de connexion pour les utilisateurs externes, avec des implications sur les taux de conversion et la satisfaction globale.

Les tests A/B menés par des plateformes SaaS pionnières montrent des résultats contrastés. Dans les populations habituées aux technologies récentes (startups tech, agences digitales), l'adoption des passkeys améliore l'expérience perçue et réduit le temps de connexion de 40% en moyenne. Dans les secteurs plus traditionnels (industrie, services professionnels), la nouveauté génère initialement des interrogations et des demandes de support.

Cette hétérogénéité impose de maintenir plusieurs méthodes d'authentification en parallèle pendant une période significative. Proposer passkey ET mot de passe ET authentification à deux facteurs par SMS crée une complexité d'interface : quel parcours privilégier ? Comment guider l'utilisateur vers la méthode la plus sécurisée sans le perdre ?

Les considérations pour les parcours d'onboarding

L'onboarding d'un nouvel utilisateur sur une plateforme B2B constitue un moment critique où chaque friction supplémentaire augmente le risque d'abandon. Expliquer ce qu'est une passkey, comment l'enregistrer, et gérer les cas où l'appareil utilisé ne la supporte pas, allonge le parcours de plusieurs étapes.

Les équipes marketing doivent arbitrer entre pédagogie et efficacité. Certaines plateformes proposent un parcours simplifié avec mot de passe lors de la première inscription, puis suggèrent l'ajout d'une passkey une fois l'utilisateur familiarisé avec le service. D'autres parient sur une adoption immédiate, quitte à perdre quelques utilisateurs réfractaires, pour construire une base utilisateur nativement sécurisée.

Les analytics comportementaux montrent que le taux de complétion de l'enregistrement d'une passkey au premier onboarding varie entre 35% et 60% selon les secteurs. Les relances par email pour compléter la sécurisation du compte permettent de remonter ce taux à environ 70%, mais une part significative des utilisateurs reste sur un mode d'authentification traditionnel.

Les perspectives d'évolution et les facteurs d'accélération

Plusieurs facteurs structurels devraient accélérer l'adoption des passkeys dans les prochaines années. Le premier tient à la pression réglementaire croissante autour de la protection des données. Le RGPD impose une sécurité adaptée au risque, et les autorités de contrôle commencent à considérer que l'authentification par simple mot de passe ne constitue plus une protection suffisante pour des données sensibles.

Les directives sectorielles dans la finance, la santé ou les infrastructures critiques intègrent progressivement des exigences d'authentification forte qui orientent mécaniquement vers des solutions comme les passkeys. La directive NIS2, applicable depuis janvier 2023 aux opérateurs d'importance vitale, mentionne explicitement l'authentification multi-facteurs comme composante obligatoire de la cybersécurité.

Les assurances cyber, qui couvrent les risques liés aux incidents de sécurité, ajustent leurs grilles tarifaires en fonction des pratiques d'authentification. Plusieurs contrats récents prévoient des franchises réduites ou des primes plus avantageuses pour les organisations qui ont déployé l'authentification sans mot de passe. Cette incitation économique directe pèse dans les arbitrages budgétaires.

L'effet d'entraînement des leaders du marché

L'adoption par des acteurs dominants crée un effet de normalisation. Quand Microsoft annonce en 2023 que 200 millions d'utilisateurs professionnels utilisent des passkeys sur Azure AD, ou qu'Apple communique sur 1 milliard de passkeys enregistrées sur iCloud, ces volumes créent une familiarité qui réduit les résistances.

Les éditeurs de logiciels métiers suivent progressivement ce mouvement par nécessité commerciale. Un ERP qui ne proposerait pas d'authentification moderne risque de perdre des appels d'offres face à des concurrents plus avancés technologiquement. Les feuilles de route produit intègrent donc le support WebAuthn, même si le calendrier s'étale souvent sur plusieurs versions majeures.

Les formations initiales en informatique et en cybersécurité commencent à enseigner les passkeys comme la méthode standard, reléguant le mot de passe au statut de legacy. Cette évolution générationnelle garantit qu'à horizon cinq ans, les nouveaux collaborateurs arriveront avec une attente d'authentification moderne, renversant la charge pédagogique.

Recommandations pour les décideurs IT et marketing

Pour les responsables qui envisagent une migration, plusieurs étapes préalables réduisent les risques d'échec. Un audit complet des applications utilisées et de leur compatibilité WebAuthn permet d'établir un calendrier réaliste. Compter entre six et dix-huit mois pour un déploiement complet dans une organisation de taille moyenne constitue une estimation prudente.

L'implication des équipes métiers dès la phase de conception s'avère déterminante. Les directions commerciales et marketing doivent participer aux ateliers de définition des parcours utilisateurs pour identifier les points de friction spécifiques à leurs activités. Un commercial itinérant qui change régulièrement d'appareil aura des contraintes différentes d'un contrôleur de gestion qui travaille uniquement depuis son poste fixe.

La communication interne mérite une attention particulière. Les annonces par email générique aboutissent rarement à une adoption satisfaisante. Des sessions de démonstration pratique, des vidéos courtes montrant les manipulations concrètes, et un support réactif pendant les premières semaines conditionnent le succès du déploiement.

Mesurer le retour sur investissement

Les indicateurs de suivi doivent combiner dimensions techniques et business. Du côté technique : nombre de réinitialisations de mots de passe, temps moyen de connexion, incidents de sécurité liés aux identifiants. Du côté business : productivité regagnée (mesurable via le temps économisé), taux de satisfaction utilisateurs, réduction des primes d'assurance cyber.

Un tableau de bord consolidé permet d'objectiver les bénéfices au-delà des impressions subjectives. Les retours d'expérience documentés dans la littérature professionnelle font état de ROI positifs à partir de douze à dix-huit mois, mais fortement dépendants de la taille de l'organisation et de la complexité de son SI.

La transition vers les passkeys redéfinit les pratiques d'authentification établies depuis six décennies. Les bénéfices en matière de sécurité et de productivité apparaissent clairement dans les études de cas disponibles, mais le déploiement effectif se heurte à des contraintes techniques, organisationnelles et culturelles qui ralentissent l'adoption. Les entreprises qui engagent cette transformation doivent planifier une période de coexistence prolong

← Retour au blog

Respect de votre vie privée

Nous utilisons des cookies pour améliorer votre expérience utilisateur et analyser notre trafic. En continuant votre navigation, vous acceptez notre politique de confidentialité.