Face à la hausse des cyberattaques par compromission d’identités, l’éditeur de sécurité Sophos alerte sur l’obsolescence des mots de passe et promeut les passkeys.

Les traditionnels mots de passe, longtemps piliers de la sécurité numérique, sont devenus le maillon faible des entreprises face à des cybercriminels de plus en plus sophistiqués. L’éditeur de solutions de cybersécurité Sophos (https://www.sophos.com/fr-fr) met en garde contre l’inefficacité de ce modèle et souligne l’urgence d’adopter de nouvelles technologies comme les clés d’accès (passkeys) et la biométrie. Les campagnes de phishing, désormais automatisées et augmentées par l’intelligence artificielle, n’exploitent plus seulement les failles techniques mais ciblent directement les comportements humains.

Un constat alarmant pour la sécurité des entreprises

Selon les conclusions du rapport de Sophos intitulé « Active Adversary Report 2026 » (https://www.sophos.com/fr-fr/blog/2026-sophos-active-adversary-report), les chiffres de l’année 2025 sont sans appel : 67 % des incidents analysés étaient liés à des attaques basées sur la compromission d’identités. Pour la deuxième année consécutive, le vol d’identifiants a représenté la méthode d’intrusion privilégiée dans 42 % des cas. Une fois cette première porte franchie, les attaquants ont pu accéder à l’annuaire central (Active Directory) en seulement 3,4 heures en moyenne.

Pire encore, l’étude révèle une faille organisationnelle majeure : près de trois victimes sur cinq (59 %) ne disposaient pas d’une authentification multifacteur (MFA) ou celle-ci n’était pas correctement configurée. « La compromission d’identifiants, les attaques par force brute, le phishing, ainsi que d’autres tactiques, exploitent des failles qui ne peuvent pas être comblées par de simples correctifs techniques. C’est pourquoi les entreprises doivent adopter une approche proactive de la sécurité des identités », analyse Bruno Durand, Vice-président Europe du Sud chez Sophos.

Les clés d’accès, une alternative robuste au mot de passe

Pour contrer cette menace, les clés d’accès, ou passkeys, s’imposent comme la défense la plus robuste actuellement disponible. Elles redéfinissent le modèle de confiance en remplaçant les secrets partagés par un système de cryptographie asymétrique. Concrètement, lorsqu’un utilisateur se connecte, son appareil génère une paire de clés : une clé privée, stockée localement et de manière sécurisée, et une clé publique, partagée avec le service en ligne. Lors de la connexion, l’appareil signe numériquement la requête avec la clé privée, et le service la vérifie grâce à la clé publique. Aucun mot de passe n’est saisi, transmis ou exposé, rendant cette méthode quasi invulnérable au phishing.

L’adoption de cette technologie est déjà en marche. Depuis le lancement des passkeys sur sa plateforme Sophos Central en octobre 2024 (https://community.sophos.com/sophos-central/b/blog/posts/coming-soon-passkey-authentication-for-sophos-central), l’entreprise a constaté que plus de 20 % de l’ensemble des authentifications s’effectuent désormais par ce biais (https://www.sophos.com/fr-fr/blog/sophos-secure-by-design-2025-progress).

Biométrie et deepfakes : la nouvelle ère de l’authentification

Les données biométriques (empreinte digitale, reconnaissance faciale) ne remplacent pas la cryptographie, mais elles en simplifient l’usage. Elles agissent comme un mécanisme pratique et sécurisé pour déverrouiller la clé privée stockée sur l’appareil de l’utilisateur. Cette combinaison offre une authentification à la fois plus simple et plus forte, avec des avantages opérationnels directs pour les entreprises, comme la réduction des demandes de réinitialisation de mots de passe.

Cependant, à mesure que la biométrie se démocratise, les attaquants adaptent leurs méthodes. Les attaques par présentation, utilisant des photos, des vidéos ou des deepfakes pour usurper une identité, gagnent en sophistication. En réponse, les systèmes modernes intègrent des techniques de « détection de la vivacité » pour s’assurer que l’utilisateur est une personne réelle et présente physiquement.

Confidentialité et conformité au cœur du dispositif

L’utilisation de données aussi personnelles que les identifiants biométriques soulève des questions de confidentialité. Contrairement à un mot de passe, une empreinte digitale ne peut être changée si elle est compromise. Pour contourner ce risque, les systèmes actuels ne stockent jamais les données biométriques brutes. Ils conservent uniquement des représentations mathématiques chiffrées (modèles) sur l’appareil de l’utilisateur. Cette architecture décentralisée renforce non seulement la sécurité mais facilite également la conformité avec des réglementations strictes comme le RGPD.

« L’authentification ne se résume plus à un simple contrôle technique, mais devient une priorité stratégique en matière de cybersécurité. Les identités représentent désormais la principale surface d’attaque et les entreprises qui ne modifient pas leur architecture en adoptant les clés d’accès et des méthodes d’authentification résistantes au phishing seront davantage exposées aux risques », conclut Bruno Durand.

Sophos est un leader mondial de la cybersécurité, protégeant plus de 600 000 entreprises grâce à sa plateforme pilotée par l’IA et ses services experts. La société propose un large portefeuille de technologies de sécurité, notamment des services de détection et de réponse managés (MDR) et des solutions pour les systèmes endpoint, les réseaux, la messagerie et le cloud. Pour plus d’informations, consultez le site www.sophos.com/fr.