{"id":23063,"date":"2025-08-29T11:11:04","date_gmt":"2025-08-29T09:11:04","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23063"},"modified":"2025-08-29T11:39:08","modified_gmt":"2025-08-29T09:39:08","slug":"passkey-enterprise-issues-and-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/passkey-enterprise-issues-and-threats\/23063\/","title":{"rendered":"Adoption des cl\u00e9s d’acc\u00e8s d’entreprise : nuances et d\u00e9fis"},"content":{"rendered":"

La transition vers les cl\u00e9s d\u2019acc\u00e8s promet aux organisations une solution rentable pour une authentification robuste des employ\u00e9s, des gains de productivit\u00e9 et le respect des r\u00e9glementations. Nous avons d\u00e9j\u00e0 abord\u00e9 tous les avantages et inconv\u00e9nients de cette solution commerciale dans un article consacr\u00e9 \u00e0 ce sujet<\/a>. Cependant, le succ\u00e8s de la transition, voire sa faisabilit\u00e9, d\u00e9pend en r\u00e9alit\u00e9 des d\u00e9tails techniques et des sp\u00e9cificit\u00e9s de mise en \u0153uvre dans de nombreux syst\u00e8mes d\u2019entreprise.<\/p>\n

Prise en charge des cl\u00e9s d\u2019acc\u00e8s dans les syst\u00e8mes de gestion des identit\u00e9s<\/h2>\n

Avant de vous attaquer aux d\u00e9fis organisationnels et \u00e0 la r\u00e9vision des strat\u00e9gies, vous devrez d\u00e9terminer si vos syst\u00e8mes informatiques centraux sont pr\u00eats pour le passage aux cl\u00e9s d\u2019acc\u00e8s.<\/p>\n

Microsoft Entra ID (Azure AD) prend enti\u00e8rement en charge les cl\u00e9s d\u2019acc\u00e8s<\/a>, ce qui permet aux administrateurs de les d\u00e9finir comme m\u00e9thode de connexion principale. Pour les d\u00e9ploiements hybrides avec des ressources locales, Entra ID permet de g\u00e9n\u00e9rer des tickets Kerberos (TGT)<\/a>, que votre contr\u00f4leur de domaine Active Directory peut ensuite traiter.<\/p>\n

Cependant, Microsoft ne propose pas encore de prise en charge native des cl\u00e9s d\u2019acc\u00e8s pour les connexions RDP, VDI ou AD sur site uniquement. Cela dit, gr\u00e2ce \u00e0 quelques solutions de contournement, les organisations peuvent stocker les cl\u00e9s d\u2019acc\u00e8s sur un jeton mat\u00e9riel, comme une YubiKey. Ce type de jeton peut prendre en charge simultan\u00e9ment<\/a> la technologie PIV (cartes \u00e0 puce) traditionnelle et la technologie FIDO2 (cl\u00e9s d\u2019acc\u00e8s). Il existe \u00e9galement des solutions tierces<\/a> pour ces sc\u00e9narios, mais vous devrez \u00e9valuer leur impact sur votre niveau de s\u00e9curit\u00e9 global et votre conformit\u00e9 r\u00e9glementaire.<\/p>\n

Bonne nouvelle pour les utilisateurs de Google Workspace et de Google Cloud\u00a0: ces services offrent d\u00e9sormais une prise en charge compl\u00e8te des cl\u00e9s d\u2019acc\u00e8s<\/a>.<\/p>\n

Les syst\u00e8mes de gestion d\u2019identit\u00e9 populaires tels que Okta, Ping, Cisco Duo et RSA IDplus prennent \u00e9galement en charge la technologie FIDO2 et toutes les principales formes de cl\u00e9s d\u2019acc\u00e8s.<\/p>\n

\u00a0<\/p>\n

Prise en charge des cl\u00e9s d\u2019acc\u00e8s sur les appareils clients<\/h2>\n

Nous avons publi\u00e9 un article d\u00e9taill\u00e9 \u00e0 ce sujet<\/a>. Tous les syst\u00e8mes d\u2019exploitation modernes de Google, Apple et Microsoft prennent en charge les cl\u00e9s d\u2019acc\u00e8s. Toutefois, si votre entreprise utilise Linux, vous aurez probablement besoin d\u2019outils suppl\u00e9mentaires, et l\u2019assistance g\u00e9n\u00e9rale est encore limit\u00e9e.<\/p>\n

De plus, bien que les principaux syst\u00e8mes d\u2019exploitation semblent prendre en charge l\u2019ensemble des logiciels, la mani\u00e8re dont les cl\u00e9s d\u2019acc\u00e8s sont stock\u00e9es varie consid\u00e9rablement, ce qui peut entra\u00eener des probl\u00e8mes de compatibilit\u00e9. Les combinaisons de plusieurs syst\u00e8mes, par exemple un ordinateur Windows et un smartphone Android, sont les plus probl\u00e9matiques. Vous risquez de cr\u00e9er une cl\u00e9 d\u2019acc\u00e8s sur un appareil et de vous apercevoir que vous ne pouvez pas l\u2019utiliser sur un autre. Pour les entreprises disposant d\u2019un parc d\u2019appareils strictement administr\u00e9s, il existe deux fa\u00e7ons de r\u00e9soudre ce probl\u00e8me. Par exemple, vous pouvez demander aux employ\u00e9s de g\u00e9n\u00e9rer un mot de passe distinct pour chaque appareil de l\u2019entreprise qu\u2019ils utilisent. La configuration initiale est donc un peu plus complexe\u00a0: les employ\u00e9s devront suivre le m\u00eame processus de cr\u00e9ation d\u2019un mot de passe sur chaque appareil. Cependant, une fois cette \u00e9tape r\u00e9alis\u00e9e, la connexion ne prend que tr\u00e8s peu de temps. De plus, si un employ\u00e9 perd un appareil, il ne sera pas compl\u00e8tement priv\u00e9 de toutes ses donn\u00e9es de travail.<\/p>\n

Une autre option consiste \u00e0 utiliser un gestionnaire de mots de passe approuv\u00e9 par l\u2019entreprise pour stocker et synchroniser les codes d\u2019acc\u00e8s sur les appareils de tous les employ\u00e9s. Il s\u2019agit \u00e9galement d\u2019une n\u00e9cessit\u00e9 pour les entreprises utilisant des ordinateurs Linux, car ce syst\u00e8me d\u2019exploitation ne permet pas de stocker les cl\u00e9s de passe de mani\u00e8re native. Attention\u00a0: cette approche pourrait ajouter une certaine complexit\u00e9 aux audits de conformit\u00e9 r\u00e9glementaire.<\/p>\n

Si vous recherchez une solution qui ne pose pratiquement aucun probl\u00e8me de synchronisation et qui fonctionne sur plusieurs plateformes, les cl\u00e9s mat\u00e9rielles telles que la YubiKey sont la solution id\u00e9ale. Le hic, c\u2019est que cette solution peut s\u2019av\u00e9rer beaucoup plus co\u00fbteuse \u00e0 mettre en place et \u00e0 g\u00e9rer.<\/p>\n

Prise en charge des cl\u00e9s d\u2019acc\u00e8s dans les applications d\u2019entreprise<\/h2>\n

Le sc\u00e9nario id\u00e9al pour int\u00e9grer les cl\u00e9s d\u2019acc\u00e8s \u00e0 vos applications professionnelles consiste \u00e0 faire en sorte que toutes vos applications utilisent l\u2019authentification unique (SSO). Il vous suffit alors de mettre en \u0153uvre la prise en charge des cl\u00e9s d\u2019acc\u00e8s dans votre solution d\u2019authentification unique d\u2019entreprise, comme Entra ID ou Okta. Cependant, si certaines de vos applications d\u2019entreprise critiques ne prennent pas en charge l\u2019authentification unique, ou si cette prise en charge ne fait pas partie de votre contrat (ce qui est malheureusement souvent le cas), vous devrez attribuer des cl\u00e9s d\u2019acc\u00e8s individuelles \u00e0 chaque utilisateur pour qu\u2019il puisse se connecter \u00e0 chaque syst\u00e8me s\u00e9par\u00e9ment. Les jetons mat\u00e9riels peuvent stocker entre 25 et 100\u00a0cl\u00e9s d\u2019acc\u00e8s, ce qui signifie que votre principal co\u00fbt suppl\u00e9mentaire sera li\u00e9 \u00e0 l\u2019administration.<\/p>\n

Les syst\u00e8mes professionnels populaires qui prennent enti\u00e8rement en charge les cl\u00e9s d\u2019acc\u00e8s incluent Adobe Creative Cloud<\/a>, AWS<\/a>, GitHub<\/a>, Google Workspace<\/a>, HubSpot<\/a>, Office 365<\/a>, Salesforce<\/a> et Zoho<\/a>. Certains syst\u00e8mes SAP<\/a> prennent \u00e9galement en charge les cl\u00e9s d\u2019acc\u00e8s.<\/p>\n

Pr\u00e9paration des employ\u00e9s<\/h2>\n

Le d\u00e9ploiement des cl\u00e9s d\u2019acc\u00e8s permet \u00e0 votre \u00e9quipe d\u2019\u00eatre op\u00e9rationnelle rapidement, quel que soit le sc\u00e9nario. Il ne faut pas que vos employ\u00e9s se creusent la t\u00eate pour tenter de comprendre le fonctionnement d\u2019une nouvelle interface. L\u2019objectif est que tout le monde se sente \u00e0 l\u2019aise pour utiliser des cl\u00e9s d\u2019acc\u00e8s sur chaque appareil. Voici les points essentiels que vos employ\u00e9s doivent comprendre.<\/p>\n