Cybersécurité PME

Phishing résistant : passer toute l'org sur passkeys en 90 jours

Le MFA classique (SMS, TOTP, push) est contourné par les kits AiTM modernes. Les passkeys et FIDO2 sont la seule défense résistante au phishing. Comment migrer une PME sans casser la productivité.

Aroua Biri 8 min

Les kits de phishing 2025-2026 (Evilginx, Modlishka, Tycoon 2FA) contournent le MFA classique en relayant la session en temps réel. SMS, push notifications, codes TOTP — tous neutralisés par une attaque Adversary-in-the-Middle bien menée. Les passkeys et FIDO2 sont aujourd'hui les seules méthodes d'authentification cryptographiquement résistantes au phishing. Voici comment migrer une PME ou scale-up de 50-300 personnes en 90 jours, sans casser la productivité.

Pourquoi le MFA classique ne suffit plus

L'attaque AiTM type :

  1. L'attaquant envoie un email de phishing avec un lien vers login.yourcompany.com.attacker.tld (proxy reverse).
  2. La victime clique, voit la page de login légitime (proxifiée).
  3. Elle entre son mot de passe → l'attaquant capture.
  4. Le push MFA arrive sur son téléphone → elle l'approuve (croyant le login légitime).
  5. Le cookie de session est généré → l'attaquant le capture.
  6. L'attaquant utilise le cookie pour se connecter.

Le MFA a été présenté à la victime, mais à travers le proxy de l'attaquant. La session est volée.

Avec les passkeys (FIDO2/WebAuthn), c'est impossible : la cryptographie inclut le domaine d'origine dans la signature. Un proxy attacker.tld ne peut pas forger une signature pour yourcompany.com. La phishing-resistance est structurelle, pas comportementale.

Les bénéfices au-delà de la sécurité

  • UX meilleure : un Touch ID ou Windows Hello est plus rapide qu'un code à entrer.
  • Pas de mot de passe à gérer (passkey-only ou passwordless flow).
  • Fonctionne offline (pas de SMS, pas de push).
  • Validé par les assureurs cyber : prime réduite si déployé sur les comptes critiques.

Plan 90 jours

Jours 1-15 — Diagnostic et sponsor

Cartographie

  • Identifier votre IdP (Okta, Entra ID, Google Workspace, JumpCloud, Auth0).
  • Lister les SaaS connectés avec leur méthode MFA actuelle.
  • Identifier les utilisateurs : interne, externe, prestataires, comptes admin.
  • Compter les appareils utilisés : Windows, Mac, Linux, iOS, Android, Chromebook.

Sponsoring

  • Présentation à la direction : risque, coût, bénéfice, calendrier.
  • Décision : passkeys obligatoires ou optionnelles, et pour qui.

Choix techniques

  • Passkeys synced (Apple, Google, Microsoft) : faciles à déployer, perçues comme du MFA grand public, suffisent pour la plupart des organisations.
  • Passkeys device-bound (YubiKey, Titan, Solo) : pour les comptes admin et accès très sensibles. Plus chers (40-70€/clé) mais plus sûrs.
  • Hybride : passkeys synced pour la majorité, hardware keys pour les rôles critiques (admin cloud, finance, dev seniors).

Jours 16-30 — Pilot

Périmètre du pilot

  • 10-20 personnes volontaires, idéalement de différents profils (IT, dev, ops, business).
  • Inclure 1-2 dirigeants pour démonstration et alignement.

Setup côté IdP

#### Okta

Settings → Authenticators → Add Authenticator → FIDO2 (WebAuthn). Activez "Phishing-resistant" comme requis pour les groupes admin.

#### Entra ID (Microsoft)

Authentication methods policy → Passkey (FIDO2) → Enable. Pour passkeys synced via Microsoft Authenticator : Authenticator → Passkey enabled.

#### Google Workspace

Security → Authentication → 2-Step Verification → Add security key ou Passkeys.

#### Auth0

Authentication → Database → Enable Passkey method.

Onboarding des pilotes

  • Sessions de 30 minutes par groupe de 5.
  • Inscription du passkey en live avec assistance.
  • Documentation de fallback si problème (généralement : code de récupération + admin reset).

Jours 31-60 — Rollout général

Communication

  • Email J-15 : "Nous passons aux passkeys, voici pourquoi, voici quand".
  • Email J-7 : "Procédure d'inscription, FAQ, calendrier".
  • Email J : "C'est aujourd'hui, voici les liens".

Workflow technique

  • Les utilisateurs reçoivent une notification IdP demandant l'inscription d'un passkey lors de leur prochain login.
  • Délai de tolérance (ex: 14 jours) pendant lequel l'ancien MFA reste accepté pour permettre la transition.
  • Au terme du délai, MFA classique désactivé pour ce groupe.

Sessions de support

  • Un canal Slack/Teams dédié pour les questions.
  • Un membre IT dispo pour les problèmes spécifiques.
  • Sessions live ouvertes 2 fois par jour pendant la première semaine.

Jours 61-75 — Comptes admin et accès critiques

C'est la phase la plus importante mais qui doit venir après le déploiement général (pour ne pas rompre les comptes admin pendant la transition).

Hardware keys pour les admins

  • Achat YubiKey 5 NFC ou Titan : ~50€ × 30-50 personnes selon votre taille.
  • 2 clés par personne (une principale, une de backup en coffre).
  • Inscription assistée en personne ou en visio.

Politique stricte

  • Comptes admin : passkey hardware uniquement, pas de fallback SMS/TOTP.
  • Comptes finance : passkey hardware ou synced de niveau enterprise (managed Apple/Google).
  • Reset admin : procédure stricte avec validation par 2 personnes.

Jours 76-90 — Désactivation legacy + audit

Désactivation des anciens facteurs

  • SMS désactivé sur tous les comptes (était le facteur le plus faible).
  • TOTP : maintenu uniquement comme backup secondaire si nécessaire.
  • Push notification : désactivé sur les comptes admin, maintenu pour les comptes simples si organisation graduelle.

Audit

  • Vérification que 100% des utilisateurs sont passés.
  • Identification des comptes "fantômes" qui n'ont pas migré (probablement inactifs — à désactiver).
  • Test phishing simulé : envoyer un faux email AiTM et vérifier que les passkeys empêchent l'attaque.

Les pièges courants

"Et si quelqu'un perd son téléphone ?"

Procédure de recovery :

  • Pour passkeys synced : restauration via le compte Apple/Google/Microsoft sur un nouvel appareil.
  • Pour hardware keys : utiliser la 2ème clé de backup, faire émettre une nouvelle clé.
  • Procédure de reset par admin avec vérification d'identité forte (visio + carte d'identité).

"Mes utilisateurs ne sont pas tech"

Les passkeys sont plus simples que les codes TOTP, pas plus complexes. Touch ID ou empreinte digitale, c'est tout. Les retours utilisateurs après déploiement sont quasi systématiquement positifs.

"Mes SaaS ne supportent pas les passkeys"

C'est de moins en moins vrai en 2026. La plupart des SaaS majeurs supportent FIDO2 via leur connexion SSO. Pour les rares qui ne supportent pas (vieux outils internes, SaaS niche), maintenez TOTP comme exception documentée.

"C'est trop cher"

Coût pour 100 personnes :

  • Passkeys synced : 0€ (utilise les appareils existants).
  • Hardware keys pour 30 admins × 2 clés : 3000-5000€ une fois.
  • Temps IT : 80-150h sur 90 jours.
  • Total : 5-15 k€ tout compris pour une PME.

À comparer aux 50-200 k€ qu'un incident phishing aboutissant peut coûter (perte de données + remédiation + amende RGPD éventuelle).

Ce que les assureurs et acheteurs valorisent

En 2026, "MFA phishing-resistant déployé" est un critère :

  • Cyber-assurance : prime réduite de 10-30% selon assureur. Voir Cyber-assurance 2026.
  • DDQ acheteurs enterprise : passe de "nice to have" à "expected" en 2026.
  • Conformité : exigé par DORA pour entités financières, recommandé par ISO 27001 Annexe A 2022.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

Cybersécurité PME7 priorités avant un RSSI Cybersécurité PMECyber-assurance 2026 Cybersécurité PMEMicrosoft Copilot oversharing

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt