Des identifiants seuls ne suffisent plus
Pendant longtemps, le couple identifiant / mot de passe a constitué la base de la sécurité des systèmes d’information. Mais ce modèle est aujourd’hui clairement dépassé.
L’explosion des cyberattaques, en particulier le phishing et le vol de credentials, a montré à quel point ce mécanisme est fragile. Un mot de passe compromis suffit encore trop souvent à donner un accès complet à une application ou à un système.
Dans ce contexte, la simple authentification par mot de passe ne répond plus aux exigences actuelles de sécurité.
De nouvelles méthodes d’authentification sécurisées ont émergé, et l’enjeu principal est désormais de les intégrer dans des systèmes d’information déjà structurés autour du SSO, de la fédération d’identités et des fournisseurs d’identité.
MFA : un standard devenu indispensable
L’authentification multi-facteurs (MFA) s’est imposée comme une première réponse incontournable.
Le principe est simple : ajouter un second facteur d’authentification en complément du mot de passe. Cela peut prendre différentes formes :
- code SMS
- application d’authentification
- token matériel
- validation push sur smartphone
Cette approche réduit fortement les risques liés au vol de credentials, même si le mot de passe est compromis.
La MFA est aujourd’hui largement adoptée et tend à devenir un standard de base dans la plupart des systèmes.
Cependant, elle n’est pas parfaite. Elle peut introduire des frictions côté utilisateur, notamment avec des validations répétées ou ce que l’on appelle la “fatigue MFA”, lorsque les sollicitations deviennent trop fréquentes et peuvent conduire à des validations par réflexe.
Son intégration dans un système existant repose généralement sur les mécanismes déjà en place de SSO et de fédération d’identités, ce qui peut complexifier les parcours d’authentification lorsque les applications ne sont pas homogènes.
Passkeys : vers la fin du mot de passe ?
Les passkeys représentent une évolution importante dans la manière de s’authentifier.
Elles reposent sur une authentification sans mot de passe, basée sur des mécanismes cryptographiques liés à un appareil ou à une identité biométrique. Concrètement, l’utilisateur se connecte via son empreinte digitale, la reconnaissance faciale ou un appareil de confiance.
L’objectif est double :
- renforcer la sécurité en supprimant le mot de passe
- améliorer l’expérience utilisateur en simplifiant l’accès
Cette approche est encore en phase de déploiement progressif, mais elle est déjà intégrée par de nombreux acteurs majeurs du numérique.
Dans les systèmes d’information d’entreprise, leur adoption dépend fortement de la compatibilité des applications et des fournisseurs d’identité, ce qui impose souvent une coexistence avec des mécanismes d’authentification traditionnels.
Dans le cadre d’un projet IAM mené pour le compte d’un grand groupe, l’authentification WebAuthn / passkeys a été déployée de manière généralisée, tout en étant proposée comme alternative au mécanisme TOTP classique. L’objectif était d’améliorer significativement le niveau de sécurité des accès tout en offrant davantage de flexibilité aux utilisateurs dans leurs modes d’authentification.
Zero Trust : un changement de paradigme
Le modèle Zero Trust marque une rupture plus profonde dans la manière de concevoir la sécurité.
Son principe est simple : ne jamais faire confiance par défaut, même à l’intérieur du système d’information. Chaque accès doit être vérifié, quel que soit l’utilisateur ou le réseau.
Cela implique de prendre en compte plusieurs éléments :
- l’identité de l’utilisateur
- le contexte de connexion
- le type de terminal utilisé
- la localisation
- le niveau de risque associé
Dans ce modèle, la gestion des identités devient un point central de la sécurité du système d’information. Le fournisseur d’identité joue un rôle clé dans les décisions d’accès et l’application des politiques de sécurité.
Comment intégrer ces approches dans le SI existant
L’introduction de MFA ou de passkeys dans un système d’information existant nécessite généralement une évolution progressive de l’IAM, afin d’éviter de casser les parcours d’authentification existants ou de multiplier les exceptions par application.
L’approche la plus efficace consiste à progresser par étapes :
- sécuriser en priorité les accès les plus critiques
- renforcer progressivement les mécanismes d’authentification
- combiner SSO, MFA et fédération d’identités
- introduire les passkeys là où c’est pertinent
L’objectif n’est pas de tout transformer, mais de faire évoluer progressivement le niveau de sécurité global.
Le rôle d’un outil comme Keycloak
Dans ce type d’architecture, une solution comme Keycloak joue un rôle structurant dans la gestion des identités et des accès.
Elle permet notamment de :
- gérer l’authentification multi-facteurs (MFA)
- s’appuyer sur des standards d’authentification modernes comme OpenID Connect ou SAML
- centraliser les politiques d’authentification et d’autorisation
- s’intégrer dans des environnements hybrides ou distribués
En s’appuyant sur des standards comme WebAuthn, Keycloak peut également prendre en charge des mécanismes modernes d’authentification sans mot de passe, comme les passkeys.
Keycloak peut s’intégrer dans des architectures Zero Trust, où il intervient comme brique IAM de confiance pour l’authentification et la gestion des identités.
La complexité ne vient pas des mécanismes eux-mêmes, mais de leur intégration dans des systèmes d’information déjà hétérogènes.
Conclusion
La sécurité des accès ne repose plus sur une seule technologie, mais sur une combinaison de mécanismes complémentaires.
MFA, passkeys et Zero Trust ne sont pas des alternatives, mais des briques d’une même évolution : celle d’un système d’information où l’identité devient le point central de la sécurité.
Bien mise en œuvre, cette approche ne complexifie pas nécessairement le SI. Elle permet au contraire de renforcer la sécurité tout en améliorant l’expérience utilisateur.
L’enjeu n’est donc pas seulement technologique, mais bien architectural : construire une gestion des identités cohérente, progressive et adaptée aux usages réels.