RSA a profité du Gartner IAM Summit de Dallas pour faire avancer un enjeu souvent négligé par de nombreuses entreprises : la connexion directement sur l’ordinateur. La société, reconnue pour son approche « security-first » en matière d’identité, a présenté une série d’améliorations sans mot de passe conçues pour renforcer l’accès aux postes de travail et portables, étendre la couverture dans les secteurs hautement réglementés, et déployer également l’authentification sans mot de passe sur ses portails et applications web internes.

Cette annonce intervient à un moment où le travail hybride et à distance transforme l’endpoint en une des portes d’entrée principales pour les attaquants, alors que beaucoup d’organisations continuent de dépendre de mots de passe faibles ou recyclés pour accéder à leur dispositif.

L’ordinateur, la grande faiblesse de la stratégie d’identité

Depuis plusieurs années, la majorité des projets d’identité et d’accès se concentre sur la protection des applications d’entreprise, VPN, SSO et ressources cloud. Cependant, le premier point de contact reste toujours le même : l’utilisateur face à l’écran de connexion Windows ou macOS.

RSA rappelle que ces équipements — notamment en télétravail — contiennent des informations sensibles et donnent accès à des réseaux internes, mais continuent de s’authentifier avec des identifiants qui peuvent être volés via phishing, malware ou fuites. « Les mots de passe échouent partout, et la connexion sur le poste de travail ne fait pas exception », souligne la société.

Avec ces nouvelles capacités, RSA souhaite précisément combler cette lacune : déployer le modèle sans mot de passe sur l’appareil, et non seulement sur les applications, en assurant une cohérence dans toute l’organisation.

Ce que RSA intègre : NFC, mode hors ligne et proximité Bluetooth

Sur le plan technique, les nouveautés s’appuient sur plusieurs éléments clés :

• Connexion « tap and go » avec RSA iShield Key 2
  Les utilisateurs peuvent s’authentifier simplement en approchant leur clé NFC iShield Key 2 du lecteur compatible, sans besoin de l’insérer physiquement. Ce mode d’utilisation est particulièrement utile dans des secteurs comme la santé ou l’industrie, où les stations de travail sont partagées et où le temps d’accès est critique.
• Options additionnelles pour connexion sans mot de passe en mode hors ligne
  RSA introduit de nouvelles alternatives permettant à l’utilisateur de s’authentifier même si l’ordinateur n’est pas connecté, notamment via OTP et FIDO2. De plus, la société prévoit de supporter des codes QR hors ligne à partir de janvier 2026, afin que le flux passwordless ne dépende pas du réseau.
• Vérification de proximité par Bluetooth
  À partir de janvier 2026 également, le support de la vérification de proximité via Bluetooth pour les connexions avec QR sera déployé. L’objectif est de garantir que le dispositif qui initie ou valide l’authentification est physiquement proche de l’ordinateur, renforçant la sécurité contre des tentatives distantes d’usurpation.
• Prise en charge complète de la connexion sans mot de passe sur macOS
  Au-delà de Windows, RSA étend l’expérience passwordless aux environnements macOS, de plus en plus demandée dans les entreprises avec des flottes mixtes de portables et stations de travail.

Ces capacités s’intégrent dans RSA® ID Plus, présenté comme une plateforme complète de gestion de l’identité et de l’accès, ainsi que dans RSA ID Plus for Microsoft M1, qui ajoute une couche supplémentaire de sécurité à Microsoft Entra ID.

Au-delà d’Entra ID : couvrir les héritages, OT et data centers

Un message clair de cette annonce est que RSA souhaite atteindre des points que les solutions natives des grands fournisseurs cloud ne couvrent pas toujours.

Selon la société, RSA ID Plus permet d’apporter une authentification forte et sans mot de passe à :

• Les data centers et mainframes.
• Les dispositifs joints à Active Directory et les PC/serveurs connectés à Entra, y compris avec des versions anciennes du système d’exploitation.
• Les applications web critiques et autres services non directement intégrés à Microsoft Entra ID.
• Les environnements OT et systèmes non Microsoft.

Pour les responsables sécurité et infrastructure, l’intérêt réside dans la capacité à orchestrer des politiques d’accès cohérentes à travers des environnements hybrides et multicloud, sans laisser d’« alcôves » d’identités mal protégées dans des systèmes hérités.

Secteurs réglementés : un seul facteur pour porte, PC et applications

RSA met également l’accent sur les gouvernements, la santé, l’énergie et d’autres secteurs hautement réglementés, où l’identité sert souvent de clé d’accès tant physique que logique.

La nouvelle RSA iShield Key 2 est conçue pour ces environnements :

• Compatible avec les standards MIFARE pour le contrôle d’accès physique.
• Firmware pouvant être mis à jour sur le terrain, permettant de réagir aux vulnérabilités zero-day sans remplacer la flotte de clés.
• Conformité avec FIPS 140-3 et autres cadres réglementaires américains clés, tels que l’Ordre Exécutif 14028 et les directives OMB M-22-09 et M-24-14.

Concrètement, cela permet d’unifier dans un même facteur d’authentification l’accès aux bâtiments, la connexion sur poste de travail et l’authentification sur les applications critiques, simplifiant la gestion tout en réduisant la surface d’attaque.

Étendre le passwordless aux portails et utilisateurs externes

Un autre point important concerne le renforcement de l’API RSA pour permettre une authentification sans mot de passe sur ses portails propriétaires et expériences web personnalisées.

Les organisations peuvent :

• Intégrer l’enregistrement et l’utilisation de passkeys dans leurs portails B2B ou B2C.
• Renforcer l’accès pour partenaires, clients et fournisseurs sans dépendre des mots de passe.
• Concevoir des flux d’authentification qui conservent leur image de marque et leur ergonomie, en s’appuyant sur des standards modernes comme FIDO2.

Cela ouvre la voie à faire du passwordless une composante stratégique de l’expérience numérique de l’entreprise, dépassant le simple cadre IT.

L’identité comme posture de sécurité : le rôle de l’IA

RSA met aussi en avant son approche en Identity Security Posture Management (ISPM). Ce concept regroupe des capacités exploitant l’intelligence artificielle pour anticiper les risques liés à l’identité avant qu’ils ne deviennent des incidents.

Ces fonctionnalités permettent de :

• Découvrir des identités avec des privilèges excessifs ou des permissions orphelines.
• Détecter des configurations risquées ou des écarts de conformité.
• Prioriser les actions dans des environnements complexes comprenant des milliers d’utilisateurs, comptes de service, bots et agents IA.

Dans un contexte où l’identité devient la nouvelle « périphérie » du réseau, cette transparence est essentielle pour déployer des stratégies Zero Trust de façon concrète.

Une orientation claire vers l’approche « passwordless-first »

Avec plus de 9.000 organisations et 60 millions d’identités gérées en environnements locaux, hybrides et multicloud, RSA cherche à conforter sa position parmi les acteurs de référence en sécurité d’identité avancée.

Lors du Gartner IAM Summit, la société invite les participants à découvrir ses démonstrations au stand 318. Une session spécifique avec le Product Manager Kenn Chong est également prévue, centrée sur la déploiement d’une authentification passwordless résistante au phishing et la gestion complète du cycle de vie des identifiants.

Le message clé est que l’avenir immédiat de l’identité s’oriente vers un modèle passwordless-first, où la connaissance du mot de passe devient optionnelle, remplacée par des facteurs plus robustes, réutilisables et gérables à grande échelle.

Foire aux questions (FAQ)

1. Quels sont les avantages de la connexion sans mot de passe sur ordinateur par rapport aux mots de passe classiques ?
Le mode passwordless sur ordinateur réduit considérablement les risques d’attaques par phishing, le vol d’identifiants et la réutilisation de mots de passe. Il améliore aussi l’expérience utilisateur en supprimant la nécessité de mémoriser ou d’actualiser des clés complexes, et facilite l’implémentation de politiques Zero Trust centrées sur l’identité et le dispositif.

2. Peut-on déployer le passwordless RSA sur des systèmes hérités ou des anciennes versions de Windows ?
Oui. RSA ID Plus et RSA ID Plus for Microsoft M1 sont conçus pour étendre l’authentification forte et le passwordless aux data centers, mainframes, appareils joints à Active Directory, et PC/serveurs sous anciennes versions de systèmes d’exploitation, ainsi qu’aux environnements Microsoft Entra ID. Cela permet d’adopter un modèle moderne sans remplacer immédiatement toute l’infrastructure.

3. Quel est l’intérêt de RSA iShield Key 2 dans des secteurs comme la santé, l’énergie ou l’administration ?
iShield Key 2 combine authentification logique et contrôle d’accès physique dans un seul dispositif, respecte les standards comme MIFARE, et peut être mis à jour sur le terrain pour répondre aux vulnérabilités zero-day. Cela facilite la conformité réglementaire, simplifie la gestion des identifiants et réduit le nombre de tokens ou cartes à porter.

4. Une entreprise peut-elle utiliser les API RSA pour offrir une connexion sans mot de passe à ses clients et partenaires sur ses portails ?
Absolument. Les dernières améliorations de l’API RSA permettent d’intégrer l’enregistrement et l’authentification via passkeys et autres facteurs, dans des portails B2B ou B2C personnalisés. Cela renforce la sécurité tout en maintenant une expérience fluide et conforme à la marque.

source : Open Security