Passkeys en entreprise : stratégie et déploiement avec Microsoft Entra ID

Introduction

L'authentification multifacteur (MFA) classique a longtemps été considérée comme une solution robuste pour sécuriser l'accès aux ressources en entreprise. Toutefois, avec l'augmentation des attaques sophistiquées telles que le phishing et le vol de jetons, il est devenu évident que des méthodes plus résistantes sont nécessaires. Les Passkeys basés sur la norme FIDO2 représentent cette nouvelle génération d'accès sécurisés, et Microsoft Entra ID (anciennement Azure AD) joue un rôle clé dans leur déploiement.

Dans cet article, nous analyserons les modèles de passkeys disponibles — Synced et Device-bound, leur intégration avec Authentication Strengths et Conditional Access, et fournirons une stratégie complète de déploiement adaptée aux besoins des grandes entreprises.

[IMAGE:1:index:url:Une personne utilisant un smartphone pour authentification sécurisé]

Pourquoi les passkeys maintenant ?

Une réponse aux menaces modernes

Les mécanismes classiques, tels que la MFA basée sur les éléments de connaissance ou les tokens OTP, restent vulnérables aux menaces grandissantes comme :

Phishing : Le vol d'identifiants ou de codes OTP reste une attaque fréquente qui peut compromettre l'entreprise.
Vol de jetons OAuth : Une méthode employée pour détourner une session d'utilisateur via des applications malveillantes.

La vision de Microsoft

Microsoft s'efforce d'étendre ses capacités en matière de sécurité grâce à des modèles fiables résistants au phishing, tout en suivant sa feuille de route Zero Trust. Les passkeys permettent :

Une authentification sans mot de passe et attachée au matériel.
Une réduction drastique des besoins d'assistance utilisateur et des problèmes de réinitialisation.

Synced Passkeys vs Device-bound Passkeys

Synced Passkeys

Les passkeys synchronisés sont enregistrés dans le Microsoft Account cloud et accessibles via différents appareils de l'utilisateur. (Avantage : facilité d'utilisation, Inconvénient : assurance légèrement réduite).

Device-bound Passkeys

Ces passkeys sont uniquement accessibles sur l'appareil où elles ont été configurées, ce qui garantit une sécurité accrue. (Avantage : meilleure assurance, Inconvénient : provisionnement complexe).

Bon à savoir

Les entreprises doivent aligner le modèle de passkey sur les besoins de leur population. Par exemple, les administrateurs privilégiés nécessitent souvent des passkeys Device-bound.

[IMAGE:2:index:url:Comparatif entre synced et device-bound passkeys]

Intégration avec Conditional Access et Authentication Strengths

Configurations avancées dans Entra ID

Avec Conditional Access, les administrateurs peuvent définir des exigences spécifiques via Authentication Strengths pour imposer l'usage des passkeys. Voici un exemple de configuration :

{}JSON

1{
2  "conditions": {
3    "applications": {
4      "include": ["all"],
5      "exclude": []
6    }
7  },
8  "controls": {
9    "authenticationStrength": "RequiredAuthenticationStrengthPasskey"
10  },
11  "grantControls": {
12    "operator": "AND",
13    "builtInControls": ["RequireAuthenticationStrength"]
14  },
15  "sessionControls": {}
16}

Astuce

Associez des politiques Conditional Access à des groupes Azure AD pour tester progressivement les passkeys sans impacter toute l'organisation.

Stratégie de déploiement

Méthodologie en anneaux

Le déploiement des passkeys doit suivre les étapes suivantes :

Phase pilote

Identifiez un groupe restreint d'utilisateurs techniques pour tester l'intégration et recueillir des retours.

Phase de déploiement élargi

Proposez les passkeys à plusieurs bureaux ou unités organisationnelles tout en ajustant les politiques Conditional Access.

Enforcement à grande échelle

Rendez l'usage des passkeys obligatoire pour toute l'entreprise et mettez à jour le processus d'assistance.

Checklist opérationnelle

Créez des groupes Entra ID spécifiques pour le test des passkeys.
Configurez Authentication Strengths pour les scénarios de test.
Implémentez les politiques Conditional Access par étape.
Formez le personnel IT et les utilisateurs finaux.
Testez les flows de récupération de passkeys.
Intégrez des solutions "breakglass" pour les comptes critiques.
Assurez une surveillance régulière des accès.
Évaluez et itérez sur la base des retours utilisateur.

Erreurs fréquentes à éviter

Ignorer les besoins des utilisateurs non techniques.
Sous-estimer le temps nécessaire pour le provisionnement des passkeys Device-bound.
Négliger les tests des scenarios d'urgence pour les comptes critiques.
Ne pas adapter le support IT au nouvel modèle d'authentification.
Migrer trop rapidement sans monitorer les impacts.

Plan 30/60/90 jours

30 jours

Lancer un pilote limité.
Former les équipes IT.

60 jours

Étendre le déploiement aux équipes globales.
Monitorer les impacts.

90 jours

Finalisation des politiques Conditional Access.
Implémentation complète à l'échelle de l'organisation.

Ressources utiles

Glossaire des termes techniques

Passkey : Standard FIDO2 pour une authentification résistante au phishing.
Conditional Access (CA) : Mécanisme permettant de définir des conditions d'accès dans Entra ID.
Authentication Strengths : Niveau d'exigence d'authentification paramétrable.
Device-bound : Passkeys liées uniquement à l'appareil où elles sont créées.

Important

Il est impératif de valider l'ensemble des politiques de récupération avant d'appliquer des passkeys de manière obligatoire.