Aller au contenu principal
Cybersécurité30 juin 202614 min de lecture

SSO, 2FA, TOTP, Passkey : le guide décideur pour choisir la bonne authentification

Un guide sans code pour distinguer SSO, 2FA, TOTP et passkey, quatre briques souvent confondues, et savoir laquelle activer selon la sensibilité de vos données et le profil de vos utilisateurs, avec un tableau de décision prêt à l’emploi.

Par Thomas Dubreuil

SSO, 2FA, TOTP, Passkey : le guide décideur pour choisir la bonne authentification
Sommaire(10 sections)

Un dirigeant réutilise le même mot de passe sur sa messagerie, son outil de facturation et l’espace RH. Un matin, une base de mots de passe fuite chez un service tiers, et ce mot de passe s’y trouve. En quelques heures, ce n’est plus un compte qui tombe, mais l’accès à toute l’entreprise. Cette situation, banale, montre pourquoi le mot de passe seul ne suffit plus, et pourquoi quatre briques reviennent sans cesse dans les échanges avec les équipes techniques : SSO, 2FA, TOTP et passkey.

Ces quatre termes sont souvent confondus, alors qu’ils ne jouent pas le même rôle. Certains ajoutent une preuve d’identité, un autre remplace le mot de passe, un dernier ne sécurise rien en soi mais centralise l’accès. Ce guide vous donne de quoi les distinguer clairement et, surtout, de quoi décider laquelle activer selon la sensibilité de vos données et le type de vos utilisateurs. Le tout par des analogies simples, sans une ligne de code, et avec un tableau de décision prêt à l’emploi à la fin.

À qui s’adresse ce guide et ce qu’il vous faut

Vous n’avez besoin d’aucune compétence technique pour le suivre. Savoir ce qu’est un mot de passe et un compte en ligne suffit. L’objectif n’est pas de vous transformer en spécialiste de la cybersécurité, mais de vous rendre capable d’arbitrer : comprendre ce que chaque brique protège, ce qu’elle coûte en confort, et par où commencer sans vous tromper. On avance du plus faible au plus fort, en posant d’abord le vocabulaire, puis chaque brique une à une, avant de tout relier dans un tableau de décision.

Étape 1 : pourquoi le mot de passe seul ne protège plus rien

Le but ici : voir la menace telle qu’elle se présente vraiment aujourd’hui, pour comprendre que renforcer l’authentification n’est plus une option de confort mais une hygiène de base.

Trois mécanismes suffisent à faire tomber un mot de passe. Le premier, l’hameçonnage (ou phishing) : un faux site imite votre outil habituel et recopie en temps réel ce que vous tapez, comme un faux guichet posé devant le vrai. Le deuxième, les fuites de bases de mots de passe : quand un service se fait pirater, des millions d’identifiants se retrouvent en circulation, et votre mot de passe devient une clé dont une copie traîne quelque part sans que vous le sachiez. Le troisième, la réutilisation : le même mot de passe sur dix sites signifie qu’une seule fuite ouvre les dix.

Ce n’est pas une lubie de spécialistes. Le NIST, l’institut de standards américain dont le référentiel fait autorité sur l’authentification numérique, décrit le mot de passe comme un facteur unique, celui de « quelque chose que l’on sait », et rappelle qu’un tel secret peut être deviné, rejoué après une fuite ou soutiré par hameçonnage. Il introduit d’ailleurs la notion de résistance à l’hameçonnage, une propriété qu’un mot de passe classique n’a pas. Côté français, l’ANSSI, l’agence nationale de cybersécurité, recommande depuis plusieurs années de privilégier l’authentification multifacteur plutôt que le mot de passe seul. Et la CNIL, l’autorité française de protection des données, a adopté, par une délibération du 20 mars 2025, une recommandation sur l'authentification multifacteur qui encadre le recours à la MFA et sa mise en conformité avec le RGPD et prévoit d’en vérifier la mise en œuvre dans ses contrôles à partir de 2026.

Autrement dit, le message des autorités converge : le mot de passe reste utile, mais il ne peut plus rester seul en première ligne. Reste à comprendre ce qu’on lui ajoute, et cela commence par un peu de vocabulaire.

Étape 2 : poser le vocabulaire, authentification, facteur, identité

Le but ici : maîtriser trois notions qui rendent tout le reste limpide. Une fois posées, les quatre briques se rangent d’elles-mêmes.

Première notion, l’authentification, c’est prouver qui l’on est. À ne pas confondre avec l’autorisation, qui est ce à quoi on a le droit d’accéder une fois identifié. L’image parlante : présenter son badge à l’accueil prouve votre identité (authentification), et ce badge ouvre certaines portes et pas d’autres (autorisation). Deux choses distinctes, qu’on mélange souvent.

Deuxième notion, les trois familles de facteurs, telles que le NIST les pose. Un facteur de connaissance, quelque chose que vous savez : un mot de passe, un code PIN. Un facteur de possession, quelque chose que vous seul avez : un téléphone, une clé physique, une application. Un facteur d’inhérence, quelque chose que vous êtes : une empreinte, un visage. L’ANSSI et la CNIL reprennent exactement ce découpage en français, connaissance, possession, inhérence.

Troisième notion, et c’est la plus importante pour la suite : un second facteur n’a de valeur que s’il vient d’une famille différente et indépendante. Deux mots de passe, ce n’est pas de la double authentification, c’est deux fois le même type de secret. Un mot de passe plus un téléphone, en revanche, combine deux natures de preuve. C’est cette indépendance qui fait toute la solidité, et qui explique la brique suivante.

Étape 3 : 2FA et MFA, ajouter un second facteur

Le but ici : comprendre pourquoi ajouter une seconde preuve indépendante bloque la grande majorité des attaques par mot de passe volé, et pourquoi le SMS, très répandu, reste le maillon faible.

La double authentification, ou 2FA (two-factor authentication), consiste à exiger deux facteurs de familles différentes. La MFA (multi-factor authentication) généralise l’idée à deux facteurs ou plus. La 2FA est donc un cas particulier de MFA. Concrètement, un attaquant qui a volé ou hameçonné votre mot de passe se heurte à un second mur : il lui faudrait aussi votre téléphone ou votre empreinte, qu’il n’a pas. L’image : deux serrures de nature différente sur la même porte, forcer l’une ne donne pas l’autre.

Attention toutefois à un piège fréquent. Recevoir un code par SMS est mieux que rien, mais c’est le second facteur le plus fragile. Le NIST, dans la dernière révision de son référentiel publiée en juillet 2025, classe la réception d’un code par le réseau téléphonique comme un authentifiant à usage restreint. La raison tient à des attaques bien connues : le détournement de carte SIM, où un fraudeur fait basculer votre numéro sur sa propre carte, le portage abusif de numéro, ou l’interception du message. Le code glissé par SMS ressemble à un mot de passe passé sous la porte, il peut être capté en chemin. La CNIL, dans le même esprit, invite à préférer des méthodes plus robustes, comme une application d’authentification ou une clé de sécurité. C’est justement l’objet de la brique suivante.

Étape 4 : TOTP, le code à six chiffres qui change toutes les 30 secondes

Le but ici : comprendre qu’une application d’authentification est une mise en œuvre concrète, fiable et gratuite du second facteur, et pourquoi c’est le premier pas accessible à n’importe quelle entreprise.

Vous connaissez sans doute ces applications, Google Authenticator, Authy ou Microsoft Authenticator, qui affichent un code à six chiffres renouvelé en permanence. Ce mécanisme porte un nom, le TOTP, pour Time-Based One-Time Password, un mot de passe à usage unique fondé sur le temps. Il est normalisé par l’IETF, l’organisme des standards d’Internet, dans la RFC 6238.

Le fonctionnement se raconte avec une analogie simple : imaginez deux horloges parfaitement synchronisées, l’une dans votre poche, l’autre chez le service. Toutes les deux calculent le même code au même instant, à partir de l’heure courante et d’un secret partagé une seule fois au départ. Ce partage initial, c’est le fameux QR code que vous scannez à l’activation, l’échange unique qui met les deux horloges d’accord. Ensuite, votre téléphone calcule le code tout seul, sans réseau ni connexion. C’est un facteur de possession : ce qui compte, c’est que le secret vive dans votre téléphone.

Deux valeurs à retenir. Le code change par défaut toutes les 30 secondes, une durée fixée explicitement par la RFC 6238. Et il fait six chiffres dans la configuration la plus répandue, valeur par défaut du format technique utilisé pour transmettre le secret. Ce court délai de validité est une force : un code intercepté expire en quelques dizaines de secondes, avant d’avoir pu servir. Pour une TPE, une PME ou une équipe qui veut renforcer ses comptes critiques sans budget ni projet lourd, activer le TOTP est le geste le plus rentable qui soit, immédiat et sans coût.

Étape 5 : SSO, une seule identité pour tous vos outils

Le but ici : comprendre que le SSO n’est pas une méthode de sécurité en soi, mais une façon de centraliser l’identité, avec de vrais bénéfices de productivité et de contrôle, à condition de bien le protéger.

Le SSO (Single Sign-On, ou authentification unique) permet de se connecter une seule fois pour accéder à plusieurs applications, votre messagerie, Slack, vos outils métier, sans retaper d’identifiants à chaque fois. Techniquement, un service central appelé fournisseur d’identité atteste qui vous êtes auprès de toutes les applications qui lui font confiance. L’image : un badge d’immeuble unique qui ouvre plusieurs bureaux, vous prouvez votre identité une fois à l’accueil, pas à chaque porte.

Schéma de fonctionnement d’OpenID Connect : la personne, via son navigateur, s’authentifie auprès du fournisseur d’identité, qui atteste ensuite son identité à l’application.

En pratique, deux standards ouverts structurent le SSO du web, SAML 2.0 et OpenID Connect (souvent abrégé OIDC). Ce dernier, maintenu par l’OpenID Foundation, la fondation qui porte le standard, est une couche d’identité posée au-dessus du protocole d’autorisation OAuth 2.0. Au terme de la connexion, le fournisseur d’identité délivre à l’application un jeton d’identité qui contient au minimum un identifiant d’utilisateur. On retrouve ici la distinction de l’étape 2 : le SSO gère l’authentification (qui vous êtes), pendant qu’OAuth 2.0 gère l’autorisation (à quelles ressources l’application accède en votre nom).

Le bénéfice est double, moins de mots de passe à retenir donc moins de fatigue et de post-it, et un point de contrôle unique pour l’entreprise : quand une personne quitte l’équipe, couper son compte central ferme d’un coup l’accès à tous les outils. Mais il y a un revers à connaître absolument. Le SSO déplace la sécurité, il ne la crée pas : si ce compte central n’est protégé que par un mot de passe, le compromettre ouvre d’un seul coup toutes les applications. Ce badge qui ouvre tout mérite donc la meilleure serrure. C’est pourquoi on impose toujours une 2FA, une MFA ou une passkey sur le fournisseur d’identité. Cette centralisation des accès touche de près aux questions d’infrastructure et de sécurisation des environnements, un chantier sur lequel une équipe outillée fait gagner du temps et évite les angles morts.

Étape 6 : passkey, la fin annoncée du mot de passe

Le but ici : comprendre que la passkey ne s’ajoute pas au mot de passe, elle le remplace, qu’elle résiste à l’hameçonnage par conception, et pourquoi les géants du web la déploient partout.

Une passkey repose sur les standards FIDO, portés par la FIDO Alliance, le consortium industriel qui définit ces technologies d’authentification. Plutôt qu’un secret que vous tapez, elle utilise une paire de clés cryptographiques : une clé privée qui reste sur votre appareil et n’en sort jamais sous une forme exploitable, et une clé publique confiée au service. Sous le capot, deux standards travaillent ensemble, WebAuthn, une interface définie par le W3C, le consortium du web, et un protocole complémentaire de la FIDO Alliance. La passkey n’est donc pas une technologie isolée sortie de nulle part, c’est le nom grand public de cet ensemble FIDO et WebAuthn.

Deux cérémonies structurent son usage. À l’inscription, votre appareil génère la paire de clés et envoie la clé publique au service, qui la garde en mémoire. À la connexion, le service envoie un défi que votre appareil signe avec la clé privée, et le service vérifie cette signature avec la clé publique enregistrée. Les deux schémas officiels ci-dessous illustrent ces deux moments.

Diagramme de l’enregistrement WebAuthn : le serveur envoie un challenge, l’appareil génère une paire de clés et renvoie la clé publique et une attestation, que le serveur valide.
Diagramme de l’authentification WebAuthn : le serveur envoie un challenge, l’appareil signe une assertion avec la clé privée liée au domaine, et le serveur vérifie la signature avec la clé publique enregistrée.

Voici la propriété qui change tout. La passkey résiste à l’hameçonnage par conception : la signature est liée au domaine légitime pour lequel la clé a été créée. Une passkey associée à votre vrai service ne peut tout simplement pas être utilisée sur un faux site qui l’imite, le navigateur et le système d’exploitation l’en empêchent. La sécurité ne repose plus sur votre œil qui doit repérer une URL trompeuse : le mot de passe se recopie donc se vole, la passkey se signe donc ne se recopie pas. C’est comme une clé taillée pour une seule serrure, impossible à insérer ailleurs.

Deux précisions pour éviter les malentendus fréquents. D’abord, quand vous déverrouillez une passkey par empreinte ou par reconnaissance faciale, cette biométrie sert uniquement à débloquer localement votre appareil, elle n’est jamais envoyée au service ; c’est la cryptographie qui authentifie, pas votre visage. Ensuite, une passkey existe sous deux formes, soit synchronisée entre vos appareils via le trousseau de votre fournisseur, soit liée à un appareil précis comme une clé de sécurité physique. Dans tous les cas, la clé privée ne quitte jamais l’appareil sous forme utilisable, même lorsqu’elle est synchronisée.

Étape 7 : quand utiliser quoi, le tableau de décision

Le but ici : relier chaque brique à votre situation réelle, la sensibilité de vos données, le profil de vos utilisateurs, votre maturité et votre budget, pour décider sans hésiter.

Une première grille de lecture, l’échelle de robustesse. Du plus faible au plus fort : le mot de passe seul, puis le mot de passe avec un code par SMS, puis le mot de passe avec une application TOTP, puis la passkey, la plus solide car résistante à l’hameçonnage par conception. Le SSO n’est pas sur cette échelle : il est perpendiculaire, il ne remplace aucun facteur, il centralise l’identité. On le combine donc avec une MFA ou une passkey sur le fournisseur d’identité, jamais seul.

À partir de là, votre décision se lit en croisant votre profil avec une recommandation de base, ce que vous activez tout de suite, et une cible, ce vers quoi vous tendez.

Profil ou contexte Recommandation de base Cible à viser
TPE ou PME, outils du quotidien, budget serré Mot de passe plus TOTP (application d’authentification) Passkey quand les outils la prennent en charge
Équipe interne avec plusieurs outils métier SSO plus MFA sur le fournisseur d’identité SSO plus passkey
Données personnelles sensibles ou en grand volume MFA attendue dans les faits (recommandation CNIL) Passkey ou FIDO2, éviter le SMS seul
Service en ligne grand public Mot de passe plus option TOTP Passkey proposée dès l’inscription
Comptes à privilèges et administrateurs MFA résistante à l’hameçonnage exigée Passkey ou clé de sécurité FIDO2 obligatoire

Ces repères s’appuient sur les autorités déjà citées. L’ANSSI invite à privilégier la MFA et un facteur de possession. La CNIL considère la MFA comme attendue pour les traitements de données personnelles sensibles ou volumineux. Le NIST valorise, pour les comptes qui comptent, au moins une option résistante à l’hameçonnage. Traduire ces principes en configuration concrète relève d’un audit et d’une étude de cadrage : on regarde vos outils réels, vos utilisateurs et vos obligations avant de décider, plutôt que d’appliquer une recette générique.

Étape 8 : ce qui change en 2026 et par où commencer

Le but ici : repartir avec une vision claire des tendances et une première action concrète adaptée à votre niveau de maturité.

Trois mouvements de fond se confirment. Côté réglementaire français, la recommandation MFA de la CNIL (mars 2025) tend à faire de la double authentification un attendu de fait pour qui manipule des données personnelles sensibles ou en volume. Côté standards, la dernière révision du référentiel NIST (SP 800-63B-4, publiée en juillet 2025) formalise le statut restreint du SMS et met en avant les authentifiants résistants à l’hameçonnage, un signal clair vers le TOTP puis la passkey. Côté usages, les grands acteurs du web généralisent la connexion par passkey, dessinant à long terme un web sans mot de passe.

Reste la question qui vous intéresse vraiment : par où commencer. Si vous partez de zéro, activez le TOTP sur vos comptes les plus critiques, messagerie, administration, finances, c’est gratuit et immédiat. Si vous jonglez déjà avec plusieurs outils, centralisez via un SSO protégé par MFA pour reprendre le contrôle des accès. Et dans tous les cas, inscrivez la passkey comme cap, en l’activant partout où elle est disponible. Cette progression touche aussi à l’automatisation des accès quand le parc d’outils grandit et que la gestion manuelle des comptes atteint ses limites. Piloter cette feuille de route dans la durée, arbitrer les priorités et tenir le cap sécurité relève d’une fonction de direction technique, à demeure ou à temps partagé selon la taille de l’équipe.

Pour aller plus loin

Pour approfondir la mise en œuvre côté organisation et outillage, ces pages prolongent le sujet.

  • Cloud et DevOps, pour la sécurisation des environnements et des accès aux infrastructures.
  • Automatisation et IA, pour automatiser la gestion des comptes et des droits à mesure que le parc grandit.
  • Audit et cadrage, pour choisir la bonne combinaison avant de déployer.
  • Notre méthode, pour voir comment on avance étape par étape sur un chantier de ce type.
  • Notre agence, l’équipe pluridisciplinaire qui accompagne la mise en œuvre.

TD

Thomas Dubreuil

Lead développeur

Pour aller plus loin

Shadow AI : comment reprendre le contrôle de l'IA invisible dans votre entreprise
Cybersécurité13 février 20267 min

Shadow AI : comment reprendre le contrôle de l'IA invisible dans votre entreprise

68 % des salariés français utilisent déjà l'IA sans en informer leur hiérarchie. Risques RGPD, failles de sécurité, hallucinations : voici comment reprendre le contrôle sans brider l'innovation.

EBEliott Bidault-Hervouet
Next.js vs TanStack Start : quel framework React choisir en 2026 ?
Développement web4 juillet 202611 min

Next.js vs TanStack Start : quel framework React choisir en 2026 ?

Next.js vient de passer en version stable 16.2 quand TanStack Start reste au stade Release Candidate neuf mois après son annonce. Tour d'horizon de ce qui change des deux côtés (routage, sécurité de type, cache, rendu, déploiement, maturité de l'écosystème) et des critères concrets qui doivent guider le choix d'un framework React en 2026.

TDThomas Dubreuil
Installation et configuration de Hermes Agent Desktop
3 juillet 202610 min

Installation et configuration de Hermes Agent Desktop

Installez Hermes Agent Desktop, l'agent IA open source de Nous Research, sur macOS, Windows ou Linux, branchez un fournisseur d'inférence et choisissez entre un mode local et un serveur partagé pour votre équipe.

EBEliott Bidault-Hervouet

Réservez un rendez-vous gratuit avec un spécialiste

30 minutes pour échanger sur votre projet digital et vos enjeux tech.

Spécialiste Koul travaillant sur un logiciel métier à son bureau
Questions fréquentes

Le blog Koul

Ligne éditoriale, sources, usage : ce qui sort sur ce blog et comment vous pouvez vous en servir.