Identité & Authentification

Chaque fois qu’un employé clique sur « Se connecter avec Google » ou « Se connecter avec Microsoft », un événement discret mais significatif se produit : une entreprise américaine apprend quand, où et auprès de quel service cette personne s’est authentifiée. Le fournisseur d’identité — le système qui confirme « oui, cette personne est bien celle qu’elle prétend être » — se trouve au centre de chaque interaction numérique. Il voit tout.

Pour les organisations, le fournisseur d’identité est l’élément d’infrastructure le plus stratégiquement important auquel la plupart des services informatiques ne pensent jamais. Il contrôle qui peut accéder à quoi. Il détermine si l’accès d’un ancien employé est révoqué en quelques minutes ou persiste pendant des semaines. C’est le point de contrôle unique — et, potentiellement, le point de défaillance unique.

Et en Europe, l’infrastructure d’identité est massivement américaine. Okta — le plus grand fournisseur d’identité dédié — a déclaré un chiffre d’affaires de 2,61 milliards de dollars pour l’exercice 2025, avec 19 100 clients. Microsoft Entra ID (anciennement Azure AD) est intégré à Microsoft 365 et constitue donc le fournisseur d’identité par défaut pour les centaines de millions d’organisations utilisant l’écosystème Microsoft. Google Identity remplit une fonction similaire pour les utilisateurs de Google Workspace.

La dépendance est structurelle. Lorsque votre fournisseur d’identité est américain, les données d’authentification — qui s’est connecté, quand, d’où, à quel service — sont soumises au CLOUD Act et à la juridiction américaine. Ce n’est pas une préoccupation théorique — comme le montre l’instrumentalisation géopolitique des licences logicielles. Les métadonnées d’identité comptent parmi les données les plus sensibles qu’une organisation produit — et parmi les plus précieuses à des fins de renseignement.

La controverse DigiD : la souveraineté en pratique

Pour comprendre pourquoi la souveraineté identitaire est importante, il suffit de regarder les Pays-Bas.

DigiD est le système d’identité numérique du gouvernement néerlandais — l’équivalent de la connexion aux services publics. Avec 16,5 millions d’utilisateurs inscrits et plus de 550 millions de connexions en 2024, c’est l’un des systèmes d’identité nationaux les plus utilisés en Europe.

L’infrastructure de DigiD était exploitée par Solvinity, une société néerlandaise d’hébergement managé. En 2024, Kyndryl — l’ancienne division des services d’infrastructure d’IBM, désormais entreprise indépendante cotée aux États-Unis — a racheté Solvinity. Du jour au lendemain, l’entreprise exploitant l’infrastructure d’identité du gouvernement néerlandais est passée sous contrôle corporatif américain.

Le Parlement néerlandais a réagi vivement. Plusieurs motions ont été adoptées, enjoignant le gouvernement à garantir que l’infrastructure de DigiD ne serait pas contrôlée par une entité non européenne. Le gouvernement s’est engagé à ne pas renouveler le contrat Solvinity/Kyndryl au-delà de 2028 et à migrer DigiD vers une infrastructure souveraine.

Le cas DigiD illustre une vulnérabilité que la plupart des pays n’ont pas encore affrontée : l’infrastructure d’identité est souvent externalisée auprès d’entreprises privées dont la propriété peut changer par acquisition. Une entreprise néerlandaise aujourd’hui peut être une filiale américaine demain. Si l’infrastructure y est déjà hébergée, le navire de la souveraineté a levé l’ancre avant que quiconque ne l’ait vu quitter le port.

eIDAS 2.0 : la réponse de l’Europe

La réponse de l’UE à la fragmentation de l’identité est eIDAS 2.0 (UE 2024/1183), adopté en avril 2024. Sa pièce maîtresse est le portefeuille européen d’identité numérique (EUDIW) — un portefeuille numérique émis par les gouvernements que chaque État membre de l’UE devra proposer à ses citoyens d’ici 2026.

Le concept est ambitieux : une application unique, sur le téléphone du citoyen, capable de stocker et de présenter :

• Des justificatifs d’identité émis par le gouvernement
• Des permis de conduire
• Des diplômes et qualifications professionnelles
• Des cartes d’assurance maladie
• Tout autre attribut vérifiable

Le portefeuille fonctionne en ligne et hors ligne. Les très grandes plateformes en ligne (telles que définies par le Digital Services Act) sont tenues d’accepter l’EUDIW pour l’authentification des utilisateurs. Cela crée, du moins en théorie, une alternative européenne à « Se connecter avec Google » — adossée à une identité vérifiée par le gouvernement plutôt qu’à un compte d’entreprise.

La promesse

L’impact potentiel de l’EUDIW est considérable. S’il est bien mis en œuvre, il permettrait de :

1. Donner aux citoyens le contrôle de leurs données d’identité. Contrairement à « Se connecter avec Google », où Google agit comme intermédiaire et sait quels services vous utilisez, le portefeuille est conçu pour présenter les justificatifs directement — sans que le fournisseur d’identité voie la transaction.
2. Créer l’interopérabilité à travers l’UE. L’identité numérique d’un citoyen français fonctionnerait de manière transparente pour des services en Allemagne, en Italie ou dans tout autre État membre. La vérification d’identité transfrontalière — actuellement un cauchemar d’attestations bureaucratiques — deviendrait instantanée.
3. Réduire la dépendance aux fournisseurs d’identité américains pour l’authentification. Les organisations pourraient accepter l’EUDIW au lieu d’exiger des comptes Google ou Microsoft.

Le rappel à la réalité

Le calendrier de l’EUDIW est ambitieux. Les États membres doivent proposer le portefeuille d’ici 2026, sur la base d’une architecture technique (l’Architecture and Reference Framework, ou ARF) encore en cours de finalisation. La mise en œuvre dans 27 États membres, chacun doté de systèmes d’identité différents, de cadres juridiques différents et de niveaux de maturité numérique différents, est un défi de coordination d’une ampleur considérable.

Des préoccupations en matière de vie privée existent. Un portefeuille d’identité numérique émis par le gouvernement, s’il est mal implémenté, pourrait devenir un outil de surveillance — traçant les services auxquels les citoyens accèdent, quand et d’où. L’architecture est conçue pour empêcher cela (divulgation sélective, pas de journalisation centralisée), mais les détails de mise en œuvre comptent énormément. Les organisations de défense des libertés civiles surveillent de près.

Et il y a la question de l’adoption. Les citoyens ont besoin d’une raison d’utiliser le portefeuille. Si les services publics ne l’acceptent pas, si les services privés ne l’intègrent pas, si l’expérience utilisateur est médiocre, l’EUDIW pourrait devenir un énième projet numérique européen bien intentionné qui existe sur le papier mais pas sur les téléphones.

FranceConnect : l’histoire à succès

La France, fidèle à elle-même, n’a pas attendu l’UE. FranceConnect — la fédération d’identité nationale française — est opérationnel depuis 2016 et compte plus de 43 millions d’utilisateurs mi-2024, connecté à plus de 1 800 services.

FranceConnect fonctionne comme une couche de fédération : les citoyens peuvent utiliser leurs identifiants gouvernementaux existants (impôts, assurance maladie ou autres administrations) pour s’authentifier auprès de n’importe quel service connecté. C’est, en somme, une fédération d’identité opérée par l’État — où l’entité qui authentifie est responsable devant les citoyens qu’elle sert, et non devant les actionnaires d’une entreprise étrangère.

Le système démontre que la fédération d’identité opérée par un gouvernement fonctionne à grande échelle. Son succès repose sur deux facteurs : l’intégration obligatoire pour les services publics (si vous êtes un service public français en ligne, vous devez accepter FranceConnect) et la commodité réelle (les citoyens peuvent utiliser des identifiants qu’ils possèdent déjà, au lieu de créer un énième compte).

FranceConnect est la preuve de concept qu’eIDAS 2.0 vise à reproduire à l’échelle européenne. La capacité des autres États membres à atteindre un taux d’adoption similaire dépendra de leur volonté de suivre le modèle français : imposer l’intégration, investir dans l’ergonomie, et accepter que les citoyens n’adopteront pas un outil uniquement parce qu’il est souverain — encore faut-il qu’il fonctionne.

Keycloak et Authentik : l’identité souveraine pour les organisations

Pour les organisations — par opposition aux citoyens — la question de la souveraineté identitaire appelle une réponse différente. La question n’est pas « quel système d’identité gouvernemental utilisons-nous ? » mais « qui exploite notre infrastructure d’authentification unique ? »

Deux fournisseurs d’identité open source se sont imposés comme les principales alternatives à Okta et Microsoft Entra ID :

Keycloak

Keycloak est le poids lourd. Développé à l’origine par Red Hat (aujourd’hui IBM), Keycloak est un projet en incubation de la CNCF — la même fondation qui héberge Kubernetes. Plus de 6 400 entreprises utilisent Keycloak en production.

Keycloak prend en charge tout ce dont un fournisseur d’identité moderne a besoin : SSO via SAML 2.0, OpenID Connect et OAuth 2.0. Intégration LDAP et Active Directory. Authentification multifacteur. Politiques d’autorisation granulaires. Libre-service utilisateur. Fédération avec des fournisseurs d’identité externes.

La réalité pratique : Keycloak est puissant mais pas simple. Le déploiement et la configuration exigent une expertise. La documentation s’est considérablement améliorée, mais la courbe d’apprentissage est réelle. Pour les organisations disposant d’équipes informatiques compétentes en interne, Keycloak offre une souveraineté totale sur l’authentification — aucune donnée ne quitte l’organisation, aucune entreprise américaine ne sait quand vos employés se connectent. Pour les organisations qui dépendent de services managés, la charge opérationnelle peut être dissuasive.

Authentik

Authentik est l’alternative plus récente — une entreprise d’intérêt public financée par Open Core Ventures. Elle adopte une approche plus moderne et conviviale pour les développeurs : installation initiale plus facile, interface plus épurée, et un accent sur l’ergonomie que Keycloak a historiquement négligée.

Authentik suit un modèle open core : le fournisseur d’identité principal est open source, tandis que les fonctionnalités entreprise (journaux d’audit, gestion des avant-postes, support premium) sont payantes. C’est un modèle de licence pragmatique qui concilie accès communautaire et viabilité commerciale.

Pour les petites organisations ou celles qui découvrent la gestion d’identité auto-hébergée, Authentik est souvent le point de départ le plus accessible. Pour les grandes entreprises aux exigences de fédération complexes et disposant d’une infrastructure Active Directory existante, Keycloak reste le choix le plus éprouvé.

Le guide de remplacement d’Okta

Les organisations migrant d’Okta ou de Microsoft Entra ID vers Keycloak ou Authentik suivent généralement ce schéma :

1. Déployer en parallèle, pas en remplacement. Faire fonctionner le fournisseur d’identité auto-hébergé parallèlement au fournisseur existant.
2. Migrer les applications de manière incrémentale. Commencer par les applications internes prenant en charge les protocoles standards (SAML, OIDC). Réserver les services exposés à l’extérieur pour plus tard.
3. Traiter l’intégration Active Directory dès le début. La plupart des organisations disposent d’une infrastructure AD existante. La fédération LDAP de Keycloak gère cela, mais la configuration n’est pas triviale.
4. Prévoir l’authentification multifacteur. Les clés matérielles FIDO2 (YubiKey, SoloKeys) offrent le plus haut niveau de sécurité. Les passkeys offrent la commodité. Les deux fonctionnent avec Keycloak et Authentik.
5. Prévoir un budget pour l’expertise. Le logiciel est gratuit. Le déploiement, l’intégration et la maintenance continue ne le sont pas.

FIDO2 et passkeys : la révolution de l’authentification

Alors que le débat sur le fournisseur d’identité porte sur la souveraineté, le débat sur la méthode d’authentification porte sur la sécurité. Et là, le paysage évolue rapidement.

FIDO2/WebAuthn remplace les mots de passe par de la cryptographie à clé publique. Au lieu d’un secret partagé (un mot de passe que vous et le serveur connaissez tous les deux), FIDO2 utilise une paire de clés cryptographiques : la clé privée reste sur votre appareil (clé matérielle ou téléphone), la clé publique est stockée sur le serveur. L’hameçonnage devient pratiquement impossible — il n’y a pas de mot de passe à voler.

Les chiffres évoluent rapidement. Fin 2025, 69 % des utilisateurs disposent d’au moins un appareil compatible avec les passkeys, et 48 % des 100 premiers sites web prennent en charge l’authentification par passkey. Microsoft a fait des passkeys la méthode de connexion par défaut en mai 2025, signalant une augmentation de 120 % de l’adoption des passkeys.

L’angle de la souveraineté

Les passkeys — l’implémentation grand public de FIDO2 — synchronisent les identifiants via des comptes cloud (iCloud Keychain, Google Password Manager, Compte Microsoft). C’est pratique, mais cela crée un problème de souveraineté : vos identifiants d’authentification sont stockés sur les serveurs d’Apple, Google ou Microsoft.

Les clés matérielles FIDO2 (YubiKey, SoloKeys, Nitrokey) n’ont pas ce problème. La clé privée ne quitte jamais l’appareil physique. Pas de synchronisation cloud, pas d’entreprise américaine détenant vos identifiants. Pour les cas d’usage à haute sécurité — gouvernement, santé, finance — les clés matérielles restent la référence absolue.

Le choix européen est donc le suivant : les passkeys pour la commodité (avec une dépendance au cloud américain pour le stockage des clés), les clés matérielles FIDO2 pour la souveraineté (avec l’inconvénient des dispositifs physiques), ou une approche hybride — passkeys pour les applications à faible risque, clés matérielles pour les applications sensibles.

Keycloak et Authentik prennent tous deux en charge FIDO2 et les passkeys, ce qui permet de construire une pile d’authentification entièrement souveraine : fournisseur d’identité hébergé en Europe + clés de sécurité matérielles = zéro dépendance américaine pour l’authentification.

Le marché IDaaS : pourquoi la souveraineté coûte de l’argent

Le marché de l’identité en tant que service (IDaaS) est dominé par des fournisseurs américains. Okta seul détient environ 27 % de parts de marché, avec 2,61 milliards de dollars de chiffre d’affaires (exercice 2025) et 19 100 clients. Microsoft Entra ID, intégré à Microsoft 365, est effectivement gratuit pour les clients Microsoft existants — ce qui en fait la voie de moindre résistance pour la plupart des organisations.

Concurrencer le « gratuit » est difficile. Lorsque la gestion d’identité est intégrée à une suite que vous payez déjà, le coût marginal de l’utilisation d’un autre fournisseur est perçu comme un ajout net — même lorsque le coût total de possession de la solution intégrée (incluant les coûts de verrouillage fournisseur, les risques de conformité et les préoccupations de souveraineté) est plus élevé.

Keycloak et Authentik sont gratuits en tant que logiciels. Ils ne le sont pas en tant que systèmes déployés. Une organisation faisant fonctionner Keycloak a besoin d’infrastructure, d’expertise, de supervision et d’un plan de mises à jour de sécurité. Des offres Keycloak managé existent chez des fournisseurs européens — mais elles sont de niche comparées au service entièrement managé d’Okta.

Concrètement : pour une organisation de 500 personnes, un déploiement Keycloak managé pourrait coûter entre 15 000 et 30 000 euros par an en hébergement et support. Le plan équivalent d’Okta coûterait entre 50 000 et 100 000 dollars par an. Les économies sont réelles, mais elles exigent des compétences internes pour être réalisées.

Ce qui en découle

L’identité est l’infrastructure silencieuse de la vie numérique. Elle est moins visible que les serveurs cloud ou les suites bureautiques, mais plus fondamentale : sans identité, rien d’autre ne fonctionne. Impossible d’accéder au cloud, à la messagerie ou à l’éditeur de documents sans d’abord prouver qui vous êtes.

L’Europe construit des alternatives tant au niveau citoyen (eIDAS 2.0, EUDIW, FranceConnect) qu’au niveau organisationnel (Keycloak, Authentik). Les alternatives ont fait leurs preuves. Les 43 millions d’utilisateurs de FranceConnect montrent que la fédération d’identité gouvernementale passe à l’échelle. Les plus de 6 400 déploiements en production de Keycloak prouvent que la gestion d’identité auto-hébergée est viable. Les clés matérielles FIDO2 prouvent que l’authentification peut être souveraine.

La controverse DigiD aux Pays-Bas montre ce qui se passe lorsque la souveraineté est présumée au lieu d’être garantie : une seule acquisition d’entreprise peut placer l’infrastructure d’identité d’une nation sous contrôle étranger. La leçon n’est pas que l’externalisation est toujours une erreur — c’est que la propriété et la juridiction de l’infrastructure d’identité doivent faire l’objet d’une décision consciente et surveillée.

Par où commencer dépend de votre configuration actuelle. Les recommandations suivantes sont regroupées par horizon temporel — commencez par ce qui est réalisable immédiatement :

Ce mois-ci (effort faible, grande visibilité) :

1. Auditez votre chaîne d’approvisionnement identitaire. Le cas DigiD montre qu’une seule acquisition d’entreprise peut placer l’infrastructure d’identité nationale sous contrôle étranger. Cartographiez non seulement votre éditeur logiciel, mais aussi l’hébergeur, le prestataire de support et leurs structures de propriété. C’est un exercice d’une semaine qui peut révéler des surprises.
2. Sachez où vivent vos données d’identité. Si la réponse est « sur les serveurs américains d’Okta » ou « dans le cloud de Microsoft », c’est une décision de souveraineté — prenez-la consciemment plutôt que par défaut.

Ce trimestre (gains rapides, bénéfice sécuritaire immédiat) :

3. Déployez FIDO2 pour les utilisateurs à haute sécurité. Les clés matérielles éliminent le vecteur d’attaque le plus courant (l’hameçonnage) et la préoccupation de souveraineté la plus courante (identifiants synchronisés dans le cloud). Commencez par les administrateurs IT et les dirigeants. Une YubiKey coûte 50 € ; une compromission d’identifiants coûte des ordres de grandeur de plus.

Cette année (projet significatif, migration de 3 à 6 mois) :

4. Évaluez Keycloak ou Authentik pour les applications internes. Une migration typique pour une organisation avec 50 applications connectées en SAML prend 3 à 6 mois. Les économies annuelles (35 000 à 70 000 € pour une organisation de 500 personnes par rapport à Okta) financent l’effort de migration en moins de 12 mois.

Avant 2027 (échéance réglementaire) :

5. Préparez-vous pour eIDAS 2.0. Chaque État membre doit proposer le portefeuille européen d’identité numérique d’ici 2026. Si vous exploitez des services qui authentifient des citoyens européens, les exigences d’intégration EUDIW vous concerneront. Commencez votre évaluation au plus tard mi-2026 — les organisations qui se préparent tôt façonneront leur intégration selon leurs propres termes ; les autres seront contraintes à un travail de conformité de dernière minute, sans marge pour les choix architecturaux.

Sources

• Okta FY2025 revenue and market share (Okta investor relations)
• DigiD usage statistics (Logius, Dutch government)
• Dutch Parliament motions on DigiD sovereignty (Tweede Kamer, 2024)
• Kyndryl acquires Solvinity (Kyndryl, 2024)
• FranceConnect statistics (DINUM)
• eIDAS 2.0 regulation (EUR-Lex)
• EUDIW Architecture and Reference Framework (GitHub)
• Keycloak joins CNCF (CNCF blog, 2023)
• Passkey adoption statistics (FIDO Alliance, 2025)
• Microsoft passkeys default (Microsoft, May 2025)
• CLOUD Act full text (Congress.gov)

Aperçu du thème : Identité & Authentification