Tous les articles
Identité & authentificationpasskeysauthentificationphishing

Passkeys en 2026 : comment votre PME peut enfin se passer des mots de passe (et bloquer le phishing)

HJ
Hugo Joucla
· 9 juillet 2026· 6 min

Vos équipes utilisent encore des mots de passe qu'on peut voler par phishing, deviner ou racheter sur le Dark Web. En 2026, il existe une alternative mûre, gratuite et déployable dans une PME sans budget démesuré : les **passkeys**. Sur le terrain, je vois beaucoup de dirigeants qui en ont entendu parler sans savoir par où commencer. Cet article répond concrètement : ce que c'est, pourquoi ça bloque le phishing, et comment les déployer étape par étape.

C'est quoi un passkey, en langage simple ?

Un passkey remplace le mot de passe par une paire de clés cryptographiques : une clé privée qui reste sur votre appareil (téléphone, ordinateur, clé de sécurité) et une clé publique stockée par le service. Pour vous connecter, vous validez avec votre empreinte, votre visage ou le code de déverrouillage de l'appareil. Rien de « secret » ne transite ni n'est mémorisé par un humain.

La différence clé avec un mot de passe : il n'y a rien à voler par phishing. Le passkey est lié techniquement au vrai site (le domaine). Sur un faux site imitant Microsoft ou votre banque, le passkey refuse tout simplement de fonctionner. C'est le standard FIDO2/WebAuthn, porté par Apple, Google et Microsoft — ce n'est ni une mode ni un produit propriétaire.

Pourquoi c'est LA réponse au phishing de 2026

En 2025-2026, les attaques les plus efficaces contre les PME sont les kits de phishing « adversary-in-the-middle » (type Evilginx) qui contournent même le MFA par SMS ou par code. L'attaquant intercepte votre mot de passe ET votre code, puis vole votre session. C'est devenu la méthode standard pour pirater un compte Microsoft 365.

Les passkeys cassent ce schéma. Comme la vérification est liée au domaine légitime, un site pirate ne peut pas rejouer la connexion. On parle d'authentification résistante au phishing : ce n'est pas un argument marketing, c'est une propriété cryptographique. Pour une PME, c'est le meilleur rapport effort/protection disponible aujourd'hui.

Où pouvez-vous déjà les utiliser ?

La couverture est bien plus large qu'on ne le croit. Côté professionnel : Microsoft 365 / Entra ID, Google Workspace, la plupart des gestionnaires de mots de passe, GitHub, et de nombreux outils SaaS. Côté quotidien : comptes Google, Apple, Amazon, PayPal, et un nombre croissant de banques et administrations.

Deux formes de passkeys existent. Les passkeys synchronisés, sauvegardés dans votre écosystème (Apple, Google, ou un gestionnaire de mots de passe) et disponibles sur tous vos appareils — idéaux pour le confort. Les passkeys liés à un appareil, comme une clé de sécurité physique (YubiKey), qui ne quittent jamais le matériel — recommandés pour les comptes ultra-sensibles comme l'administrateur Microsoft 365.

Comment déployer les passkeys dans votre PME : la méthode

1. Commencez par les comptes à privilèges

Ne visez pas tout le monde d'un coup. Le premier chantier, c'est les comptes administrateurs (Microsoft 365, Google Workspace, hébergeur, banque en ligne). Ce sont eux qui, compromis, coûtent le plus cher. Équipez ces comptes de clés de sécurité physiques FIDO2, idéalement en double (une principale, une de secours au coffre).

2. Activez les passkeys dans votre environnement

Dans Microsoft 365, cela se configure via les méthodes d'authentification d'Entra ID en autorisant les « passkeys (FIDO2) ». Dans Google Workspace, l'administrateur active les passkeys pour l'organisation. Prévoyez une procédure d'enrôlement écrite : c'est le moment où les collaborateurs enregistrent leur passkey, et où le support doit être disponible.

3. Traitez la question du secours dès le départ

La question qui bloque tout le monde : « et si je perds mon téléphone ? ». La réponse professionnelle : toujours enregistrer au moins deux passkeys par utilisateur (ex. téléphone + clé physique) et définir une procédure de récupération contrôlée par l'admin. Un déploiement sans plan de secours crée plus de tickets qu'il n'en résout.

4. Formez, puis réduisez le mot de passe

Le passkey échoue souvent non pas techniquement, mais humainement : les gens ne comprennent pas le changement. Une démonstration de 15 minutes suffit généralement. Une fois les équipes à l'aise, on peut désactiver progressivement le mot de passe comme méthode de connexion — c'est là que le gain de sécurité devient réel.

Les erreurs fréquentes que je vois sur le terrain

Erreur 1 : déployer sans passkey de secours. Résultat : un salarié bloqué et un admin submergé. Erreur 2 : croire que le passkey remplace tout. Il sécurise la connexion, pas vos sauvegardes, ni votre pare-feu, ni votre culture cyber. Erreur 3 : oublier l'administrateur. Protéger les salariés mais laisser le compte admin en mot de passe + SMS, c'est verrouiller la porte en laissant la fenêtre ouverte. Erreur 4 : confondre passkey et gestionnaire de mots de passe — le gestionnaire reste utile pour les vieux services qui ne supportent pas encore les passkeys.

Combien de temps et d'argent ça coûte à une PME ?

Bonne nouvelle : la brique logicielle est gratuite (incluse dans Microsoft 365, Google Workspace, iOS, Android, Windows). Le seul coût matériel concerne les clés de sécurité physiques pour les comptes sensibles, comptez quelques dizaines d'euros par clé. Le vrai investissement est le temps de cadrage et de formation : pour une TPE de 5 à 15 personnes, un déploiement bien mené se planifie sur quelques jours, étalés sur deux à trois semaines pour laisser les usages s'installer.

Vous voulez sécuriser vos connexions Microsoft 365 ou Google avant la prochaine tentative de phishing ? Demandez un **diagnostic gratuit** à JOUCLA CYBERDÉFENSE : nous auditons vos comptes à privilèges et vous remettons un plan de passage aux passkeys adapté à votre PME.

Diagnostic gratuit
passkeysauthentificationphishingMFAPME

Vous voulez aller plus loin ?

Découvrez Sérénité Cyber PME, notre offre packagée qui couvre l'ensemble des risques décrits dans cet article — pour un prix mensuel unique.

Newsletter cyber

Recevez nos analyses cyber chaque mois

Alertes CVE critiques, retours d'expérience terrain, conseils concrets pour PME. Pas de spam, désabonnement en un clic.

En vous abonnant, vous acceptez de recevoir nos emails. Vos données ne sont jamais partagées.

Appeler