Un nouveau standard, mais pas une solution isolée
Les passkeys s’imposent progressivement comme une évolution importante des mécanismes d’authentification. Portées par l’écosystème FIDO Alliance et les standards WebAuthn du W3C, elles permettent de réduire la dépendance aux mots de passe, aux codes recopiables et aux mécanismes d’authentification plus facilement exploitables dans des scénarios de phishing.
Pour les banques et assurances, l’intérêt est réel : les parcours clients et collaborateurs sont exposés à des attaques de plus en plus crédibles, combinant phishing ciblé, usurpation d’identité, fraude au virement, compromission d’emails et ingénierie sociale. Dans ce contexte, les passkeys peuvent renforcer la sécurité des accès, notamment sur les services en ligne, les applications mobiles, les portails entreprises et les comptes internes sensibles.
Mais leur adoption ne doit pas être présentée comme une rupture simple ou automatique. Les passkeys réduisent certains risques, mais elles ne suppriment ni la fraude, ni les erreurs de processus, ni les compromissions de terminaux, ni les faiblesses des parcours de récupération.
La question importante pour les établissements financiers n’est donc pas seulement : “faut-il adopter les passkeys ?”
Elle devient : où, comment, avec quels contrôles, et selon quelle trajectoire de migration ?
Ce que les passkeys changent réellement
Le principal apport des passkeys est de limiter les attaques reposant sur la capture ou la réutilisation d’un secret.
Dans un parcours classique, un utilisateur peut être amené à saisir un mot de passe, recopier un code reçu par SMS, valider une notification ou communiquer une information d’authentification à un faux interlocuteur. Ces mécanismes peuvent être exploités par des attaquants dans des scénarios de phishing en temps réel ou d’ingénierie sociale.
Avec une passkey, l’authentification repose sur une preuve cryptographique associée au service légitime. L’utilisateur ne transmet pas un mot de passe ou un code réutilisable. Cette caractéristique réduit fortement l’efficacité des sites frauduleux cherchant à voler des identifiants.
Les documents de la FIDO Alliance et les spécifications WebAuthn décrivent ce modèle comme une authentification fondée sur des clés cryptographiques, liée au domaine du service et conçue pour mieux résister au phishing que les mécanismes fondés sur des secrets partagés.
Pour les établissements financiers, ce changement est structurant, mais il doit être replacé dans une approche globale de gestion du risque.
Parcours clients : réduire le phishing sans dégrader l’expérience
Les passkeys peuvent améliorer l’expérience client en supprimant une partie de la friction liée aux mots de passe. L’utilisateur se connecte avec un geste déjà connu : déverrouillage du smartphone, biométrie locale ou code de l’appareil.
Dans une application bancaire, elles peuvent être utilisées pour :
- accéder à l’espace client ;
- sécuriser une reconnexion sur un nouvel appareil ;
- renforcer certains parcours sensibles ;
- réduire les appels au support liés aux mots de passe oubliés ;
- limiter les risques de capture d’identifiants.
Cependant, un déploiement client doit rester progressif. Tous les clients ne disposent pas du même niveau d’équipement, de compréhension ou de maturité numérique. Les établissements doivent prévoir des parcours alternatifs, sans maintenir indéfiniment des méthodes faibles qui annuleraient le bénéfice de sécurité.
L’enjeu consiste donc à trouver un équilibre entre adoption, inclusion numérique, sécurité et simplicité d’usage.
Parcours entreprises : un cas d’usage prioritaire
Les passkeys sont particulièrement pertinentes pour les clients entreprises. Les portails de cash management, interfaces de paiement, espaces de gestion de contrats ou services de trésorerie sont exposés à des risques élevés de compromission d’identifiants.
Dans ces environnements, les attaques ne ciblent pas seulement l’accès au compte. Elles visent aussi les chaînes d’approbation, les modifications de bénéficiaires, les validations de virements ou les flux de paiement.
L’usage de passkeys peut réduire le risque d’accès frauduleux initial, mais il doit être associé à des contrôles métiers : validation à plusieurs niveaux, contrôle des changements sensibles, supervision des bénéficiaires, détection comportementale et procédures hors canal pour les opérations inhabituelles.
Autrement dit, la passkey protège l’accès. Elle ne remplace pas les contrôles de paiement.
Comptes internes et accès privilégiés : priorité au risque élevé
Côté collaborateurs, les premiers cas d’usage devraient concerner les populations les plus sensibles :
- administrateurs systèmes ;
- équipes cloud ;
- opérateurs back-office ;
- collaborateurs ayant accès aux systèmes de paiement ;
- équipes SOC et CSIRT ;
- fonctions dirigeantes exposées aux attaques BEC ;
- équipes support capables de réinitialiser ou modifier des accès.
Pour ces populations, l’objectif est de réduire le risque de compromission par phishing ou vol d’identifiants. Les authentificateurs FIDO matériels peuvent être privilégiés pour les accès à très fort niveau de sensibilité, notamment lorsque l’organisation souhaite limiter la synchronisation des passkeys entre appareils.
Le choix entre passkeys synchronisées et authentificateurs liés à un terminal doit donc être fonction du niveau de risque. Une approche unique pour tous les usages serait insuffisante.
Le vrai point critique : la récupération de compte
La récupération de compte est souvent le maillon faible des dispositifs d’authentification forte.
Si un utilisateur perd son téléphone, change d’équipement ou n’a plus accès à son gestionnaire de passkeys, l’établissement doit lui permettre de récupérer l’accès. Mais si cette procédure repose sur des contrôles faibles, elle peut devenir le nouveau vecteur d’attaque.
Dans un contexte bancaire ou assurantiel, les procédures de récupération doivent être traitées comme des opérations sensibles. Elles doivent intégrer :
- une vérification renforcée de l’identité ;
- une journalisation complète ;
- des alertes en cas de changement inhabituel ;
- une supervision des réinitialisations ;
- des délais ou contrôles supplémentaires sur les opérations sensibles après récupération.
La robustesse d’un dispositif passkey dépend donc autant de l’authentification nominale que de la gestion des exceptions.
Articulation avec la fraude : éviter le faux sentiment de sécurité
Les passkeys réduisent certains risques d’accès frauduleux, mais elles ne bloquent pas toutes les fraudes.
Un client correctement authentifié peut être manipulé pour effectuer un virement. Un collaborateur peut être convaincu de valider une opération frauduleuse. Un attaquant peut exploiter une session légitime, un terminal compromis ou une faiblesse de processus.
Les passkeys doivent donc être intégrées dans les dispositifs de lutte contre la fraude, notamment :
- détection d’anomalies comportementales ;
- scoring transactionnel ;
- surveillance des nouveaux bénéficiaires ;
- contrôle des changements sensibles ;
- détection des sessions inhabituelles ;
- corrélation avec les signaux cyber.
Pour les banques et assurances, l’enjeu est de ne pas opposer authentification et fraude. Les deux doivent être articulées.
Gouvernance IAM : éviter un déploiement purement technique
Un projet passkeys ne doit pas être porté uniquement par les équipes IAM ou digitales. Il doit impliquer la cybersécurité, la fraude, le support client, les métiers, la conformité, le juridique et les équipes risques.
Les décisions à prendre sont structurantes :
- quels parcours doivent être prioritaires ?
- quelles méthodes restent autorisées pendant la transition ?
- quels usages exigent des authentificateurs matériels ?
- comment gérer les exceptions ?
- comment auditer les enrôlements ?
- quels indicateurs suivre ?
- comment traiter les clients ou collaborateurs non éligibles ?
- quelles preuves conserver en cas d’incident ?
Dans un cadre DORA, la maîtrise des accès aux fonctions critiques constitue un élément de résilience opérationnelle numérique. Les passkeys peuvent contribuer à cette maîtrise, à condition d’être documentées dans les politiques IAM, les cartographies de risques et les scénarios d’incident.
Migration progressive : une trajectoire réaliste
Une migration réussie repose généralement sur une approche par étapes.
La première étape consiste à identifier les parcours les plus exposés : accès aux comptes sensibles, portails entreprises, accès cloud, comptes administrateurs, opérations critiques.
La deuxième consiste à lancer des pilotes ciblés, avec mesure de l’adoption, des incidents support, des échecs d’enrôlement et des retours utilisateurs.
La troisième consiste à renforcer progressivement les exigences sur les populations à risque, tout en réduisant les méthodes les plus vulnérables.
La quatrième consiste à tester les scénarios d’exception : perte de terminal, changement d’appareil, révocation, récupération, départ collaborateur, compromission suspectée.
Enfin, la cinquième étape consiste à suivre les gains réels : baisse des compromissions, réduction des réinitialisations de mots de passe, diminution des incidents liés aux identifiants, amélioration du niveau de conformité IAM.
Indicateurs à suivre
Pour piloter un déploiement passkeys, plusieurs indicateurs sont utiles :
- taux d’adoption par population ;
- couverture des comptes sensibles ;
- nombre d’enrôlements ;
- nombre de récupérations de compte ;
- incidents liés aux méthodes faibles restantes ;
- taux d’échec d’authentification ;
- délais de support ;
- incidents de fraude impliquant un utilisateur légitimement authentifié ;
- volume d’exceptions accordées.
Ces indicateurs permettent d’éviter un pilotage uniquement fondé sur le taux d’activation.
Perspective pour les banques et assurances
Les passkeys constituent une évolution importante des parcours d’authentification. Elles apportent une réponse solide à une partie des attaques fondées sur le phishing et le vol d’identifiants.
Mais leur valeur dépend de leur intégration dans un dispositif plus large : IAM, fraude, support, gouvernance des accès, détection comportementale, contrôle des opérations sensibles et gestion des exceptions.
Pour les établissements financiers, l’objectif n’est pas seulement de déployer un nouveau standard. Il s’agit de construire des parcours d’accès plus robustes, plus auditables et mieux alignés avec les risques réels.
La passkey n’est pas une fin en soi. C’est un levier de réduction du risque, à condition d’être déployé avec méthode, sur les bons périmètres et avec une gouvernance adaptée.
Une authentification est dite “phishing-resistant” lorsqu’elle ne repose pas sur un secret transmissible ou réutilisable par l’utilisateur.
Dans les standards FIDO2/WebAuthn (W3C) :
- aucune information sensible n’est transmise (pas de mot de passe),
- la signature est liée au domaine (origin binding),
- l’authentification repose sur une clé privée stockée localement.
Le NIST (SP 800-63) classe ces mécanismes parmi les plus robustes face au phishing.
Composants principaux :
- Authenticator : terminal ou token (TPM, Secure Enclave, clé FIDO),
- Client : navigateur ou application,
- Relying Party (RP) : service applicatif.
Flux simplifié :
- Enrôlement → génération d’une paire de clés,
- Stockage :
- clé privée → terminal,
- clé publique → serveur,
- Authentification :
- challenge serveur,
- signature locale,
- vérification serveur.
Ce modèle élimine les secrets partagés
Approche recommandée :
- intégration via Identity Provider (IdP),
- activation WebAuthn comme facteur primaire ou secondaire,
- mapping avec les identités existantes (UID, email, etc.).
Points clés :
- compatibilité SSO (OIDC / SAML),
- gestion des devices,
- journalisation centralisée.
Les retours d’implémentation montrent que l’intégration est plus simple via un IdP centralisé que directement dans chaque application.

