Aller au contenu
Retour aux Tutoriels
identity passkeys mfa enterprise-security

Comment déployer des passkeys d'entreprise et une MFA résistante au phishing

Intermédiaire · 55 minutes · 6 min de lecture · Byte Smith ·

Avant de commencer

  • Un IdP ou une plateforme SSO d'entreprise comme Microsoft Entra ID, Okta, Ping, Google Workspace ou une stack d'identité similaire
  • Un accès administrateur aux politiques de méthodes MFA ou d'authentification
  • Un groupe pilote d'utilisateurs du personnel et au moins un contact helpdesk
  • Un inventaire actuel des dispositifs et navigateurs pour les endpoints gérés et non gérés
  • Un processus de support de base pour la récupération de compte et la restauration d'accès

Ce que vous apprendrez

  • Décider où les passkeys s'inscrivent dans votre stratégie d'identité du personnel
  • Auditer la préparation des dispositifs, navigateurs et de la récupération avant le déploiement
  • Concevoir un modèle d'inscription et d'application par étapes
  • Déployer les passkeys et clés de sécurité comme options de MFA résistante au phishing
  • Construire une expérience utilisateur supportable pour l'inscription, la récupération et la connexion cross-device
  • Mesurer l'adoption et étendre sans garder indéfiniment des fallbacks faibles
1
2
3
4
5
6
7
8
9
Sur cette page

Les attaques d’identité continuent de pousser les organisations au-delà du point où “ajouter un prompt MFA supplémentaire” suffit. La réutilisation de mots de passe, les kits de phishing, les attaques adversary-in-the-middle et la fatigue MFA ont rendu les patterns de connexion plus anciens beaucoup plus difficiles à défendre de manière cohérente. C’est pourquoi de plus en plus d’équipes se tournent vers la MFA résistante au phishing, en particulier les passkeys et clés de sécurité, pour les connexions du personnel.

Les passkeys sont maintenant réalistes pour un déploiement d’entreprise parce que l’écosystème n’est plus expérimental. Les principales plateformes d’identité supportent l’activation par étapes, le ciblage de politique et les contrôles de récupération, et le déploiement pour le personnel se fait déjà à grande échelle. Cela ne signifie pas que vous devriez basculer un interrupteur pour chaque employé en même temps. Cela signifie que vous pouvez enfin traiter les passkeys comme un programme d’identité, pas un projet de laboratoire.

Dans ce tutoriel, vous allez construire un plan de déploiement pratique pour les passkeys d’entreprise et la MFA résistante au phishing. Le résultat final n’est pas juste “passkeys activées.” C’est un modèle de déploiement par étapes avec un groupe pilote, des méthodes de secours, des instructions pour le helpdesk, des métriques et un chemin clair de l’adoption précoce à une application plus large. Pour un contexte plus large sur la stratégie passkey et les considérations UX, consultez Enterprise Passkeys Rollout: What Actually Works.

Note

Testé avec : consoles admin Microsoft Entra ID, Google Workspace et Okta à partir de mars 2026. Les passkeys liées au dispositif Entra sont GA ; les passkeys synchronisées Entra sont en preview. La disponibilité des fonctionnalités fournisseur peut changer — consultez les notes de version actuelles de votre IdP avant de commencer.

Étape 1 : Décider où les passkeys s’inscrivent

Avant de toucher à la politique, décidez quel problème vous résolvez. Certaines organisations veulent d’abord remplacer la MFA faible pour les utilisateurs à haut risque. D’autres veulent réduire les réinitialisations de mot de passe et la friction de connexion pour le personnel plus large. Ce sont tous deux des objectifs valides, mais ils mènent à des séquences de déploiement différentes.

Choisir par quels utilisateurs commencer

Une bonne première règle est de commencer là où l’avantage de sécurité est élevé et le modèle opérationnel est gérable. En pratique, les meilleurs premiers groupes sont souvent :

  • les administrateurs IT et identité
  • les dirigeants et le personnel de support des dirigeants
  • les utilisateurs avec accès à la PI sensible ou aux données réglementées
  • les membres de l’équipe sécurité
  • les utilisateurs qui voyagent beaucoup ou sont fortement ciblés

Fichier : passkey-rollout-scope.yaml

program_name: workforce-passkeys-phase-1
goal: reduce exposure to phishing and weak MFA for privileged and high-risk users
target_users:
  - identity-admins
  - security-team
  - executives
included_apps:
  - idp-portal
  - email
  - vpn-or-zta-portal
  - cloud-admin-console
excluded_for_phase_1:
  - shared-kiosk-workflows
  - legacy-rdp-gateway
  - non-federated-on-prem-apps
success_definition:
  - 90_percent_of_pilot_users_enrolled
  - less_than_5_percent_login_failure_increase
  - help_desk_recovery_process_verified
Astuce

Le premier déploiement le plus fort n’est généralement pas “tout le monde.” C’est “les personnes les plus susceptibles d’être ciblées, sur les applications que votre IdP contrôle déjà bien.”

Étape 2 : Auditer votre environnement

Les échecs de déploiement de passkeys les plus courants ne sont pas cryptographiques. Ils sont opérationnels.

Fichier : device-passkey-audit.csv

device_type,managed,primary_browser,platform_authenticator_ok,security_key_required,notes
windows-11-laptop,yes,edge,yes,no,standard office workforce
macbook,yes,chrome,yes,no,developer group
iphone,yes,safari,yes,no,executive mobile access
android-phone,yes,chrome,yes,no,field staff mobile access
shared-frontline-ipad,shared,safari,no,yes,avoid personal synced passkeys on shared devices
contractor-laptop,no,chrome,case-by-case,yes,restrict unmanaged platform usage

Fichier : passkey-policy-matrix.yaml

managed_devices:
  synced_passkeys: allowed
  platform_passkeys: allowed
  security_keys: allowed
unmanaged_devices:
  synced_passkeys: limited
  platform_passkeys: limited
  security_keys: preferred
privileged_users:
  synced_passkeys: conditional
  platform_passkeys: conditional
  security_keys: required_backup
shared_devices:
  personal_synced_passkeys: not_allowed
  security_keys: preferred
Attention

Si votre chemin de récupération est “le helpdesk trouvera bien”, votre déploiement n’est pas prêt. La récupération fait partie de la conception de l’authentification, pas une réflexion après coup.

Étape 3 : Concevoir le modèle de déploiement

Fichier : policy-stages.yaml

stage_1:
  name: optional-pilot
  actions:
    - enable_passkey_registration
    - no_forced_use
stage_2:
  name: required-enrollment
  actions:
    - require_enrollment_for_pilot_group
    - require_backup_method
stage_3:
  name: phishing-resistant-required
  actions:
    - enforce_for_admin_apps
    - enforce_for_privileged_groups
stage_4:
  name: broader-workforce
  actions:
    - expand_group_scope
    - reduce_weak_fallbacks
Note

Le meilleur modèle de déploiement est par étapes. Vous voulez apprendre de l’inscription optionnelle avant de faire des passkeys le chemin par défaut pour plus d’utilisateurs.

Étape 4 : Activer la MFA résistante au phishing

Fichier : auth-strengths.yaml

standard_workforce:
  allowed_methods:
    - passkey
    - security_key
  discouraged_methods:
    - push_notification
    - sms
privileged_users:
  required_methods:
    - passkey
    - security_key
  blocked_methods:
    - sms
    - voice_call
    - push_notification
break_glass_accounts:
  separate_controls: true
  offline_storage_required: true
  no_daily_use: true
Attention

Un déploiement de passkeys fort peut quand même échouer si le vrai chemin quotidien reste le SMS, le push ou un autre fallback plus faible. Les utilisateurs suivent le chemin le plus facile que vous laissez ouvert.

Étape 5 : Construire l’expérience utilisateur

Fichier : employee-announcement.txt

Starting next week, your sign-in experience will begin moving to passkeys for stronger, phishing-resistant authentication.

What you need to do:
1. Sign in to the company portal when prompted
2. Add a passkey on your primary work device
3. Add a backup method before you finish
4. Test a new sign-in once enrollment is complete

If you lose your device or need help, contact the help desk at help@example.com before attempting repeated sign-ins.
Astuce

L’expérience utilisateur devrait toujours inclure une méthode de secours et un message de récupération. Ces deux détails font plus pour la confiance que de longues explications techniques.

Étape 6 : Surveiller l’adoption

Fichier : adoption-thresholds.yaml

go_to_next_stage_when:
  enrollment_rate: ">= 85%"
  backup_method_rate: ">= 75%"
  login_success_rate: "no worse than baseline by more than 2%"
  weak_fallback_usage: "< 10%"
  unresolved_helpdesk_spike: "false"
Info

L‘“adoption” n’est pas juste l’inscription. Une bonne adoption signifie que les utilisateurs réussissent réellement avec la méthode plus forte et ne la contournent pas constamment via d’anciens fallbacks.

Étape 7 : Étendre en toute sécurité

Une fois le pilote stable, étendez par risque et préparation du support, pas par impatience. L’objectif suivant est de répandre la MFA résistante au phishing sans recréer les mêmes erreurs de récupération et de compatibilité à plus grande échelle.

Problèmes courants de configuration

Pas de plan de récupération

Correction : Exigez une méthode de secours pendant l’inscription, documentez les étapes de vérification d’identité et de récupération, testez un scénario de dispositif perdu avant le déploiement large.

Communication médiocre

Correction : Envoyez des instructions d’inscription courtes et en langage clair, incluez des captures d’écran ou liens portail internes si disponibles, expliquez la sauvegarde et la récupération dans le même message.

Garder les méthodes de fallback faibles trop longtemps

Correction : Mettez des dates et conditions sur le retrait des fallbacks, supprimez les méthodes faibles d’abord pour les utilisateurs privilégiés, surveillez l’utilisation des fallbacks et traitez-la comme une métrique de déploiement.

Conclusion

Un bon déploiement de passkeys d’entreprise n’est pas juste un changement technologique. C’est un programme d’identité avec un périmètre, des utilisateurs pilotes, une conception de récupération, des messages de support, des étapes d’application et des métriques d’adoption. Bien fait, il vous donne une résistance au phishing plus forte et une meilleure expérience utilisateur en même temps.

Faites des passkeys le défaut quand vos groupes pilotes et d’expansion précoce peuvent s’inscrire de manière fiable, récupérer en toute sécurité et s’authentifier sans s’appuyer sur des méthodes plus faibles.