Synthèse
Avec la forte croissance des services cloud, de nombreuses entreprises choisissent de gérer l’authentification des employés avec l’authentification unique (SSO). Mais le SSO ne résout pas tous les défis liés à l’authentification, loin de là.
Le SSO aide à centraliser l’authentification entre les applications, en simplifiant l’expérience utilisateur grâce à la réduction du nombre d’identifiants et de mots de passe à mémoriser, et en renforçant la sécurité de l’entreprise en garantissant une authentification robuste pour davantage d’applications. Aujourd’hui, la plupart des entreprises utilisent l’un des deux protocoles d’assertion pour mettre en œuvre le SSO : Security Assertion Markup Language (SAML) ou OpenID Connect (OIDC).
Dans une récente enquête menée auprès d’admins informatiques et de dirigeants d’entreprise, Bitwarden a constaté que la grande majorité des organisations utilisent le SSO pour sécuriser leurs applications, mais que la plupart ont encore de nombreuses applications qui ne sont pas prises en charge par le SSO. Ces répondants ont indiqué que les applications héritées ne prennent souvent pas en charge le SSO, et que de nombreux fournisseurs d’applications SaaS ne proposent le SSO qu’avec leurs abonnements « entreprise » les plus coûteux.
Par conséquent, de nombreuses applications ne sont pas couvertes par le SSO. Et il ne s’agit pas non plus d’applications secondaires. De nombreux répondants jugent considérable le risque de sécurité des applications sans SSO, et un cinquième a déjà constaté des incidents de sécurité liés à ces applications.
En résumé, comme l’a dit un répondant, le SSO n’est pas une « solution miracle ». Il doit être complété par une autre solution, et selon de nombreux répondants, un gestionnaire de mots de passe offre le meilleur des deux mondes.
Principales conclusions
89 % des organisations utilisent le SSO, mais la majorité (57 %) possède jusqu’à 50 applications qui ne le prennent pas encore en charge.
Plus de la moitié (62 %) des répondants déclarent que le SSO seul ne suffit pas à leur organisation pour garantir une authentification sécurisée.
Les applications de Shadow IT constituent le principal défi des organisations pour sécuriser l’authentification aux applications sans SSO, cité par 65 % des répondants.
Les répondants indiquent que Bitwarden Password Manager est efficace pour sécuriser les applications non prises en charge par le SSO : 85 % citent la sécurité accrue et 83 % la réduction du risque lié aux identifiants comme principaux avantages, tandis que 70 % mentionnent des connexions simplifiées.
89 % des organisations utilisent le SSO, mais 57 % ont jusqu’à 50 applications qui ne le prennent pas en charge.
85 % des répondants citent la sécurité accrue comme l’un des principaux avantages de Bitwarden Password Manager.
Le Shadow IT est le principal défi des organisations pour sécuriser l’authentification aux applications sans SSO, cité par 65 % des répondants.
Plus de la moitié (62 %) des répondants déclarent que le SSO seul ne suffit pas à leur organisation pour garantir une authentification sécurisée.
Tout le monde utilise le SSO, même s’il ne couvre pas toutes les applications
Le SSO a gagné en popularité depuis l’avènement de l’ère du cloud. Il améliore la posture de sécurité des organisations et optimise l’expérience des utilisateurs finaux. Il n’est donc pas surprenant que 89 % des répondants de notre étude déclarent que leur organisation utilise le SSO.
L’une des raisons pour lesquelles le SSO fait une telle différence est le volume considérable d’applications que les entreprises doivent prendre en charge. Deux tiers (66 %) des organisations gèrent plus de 100 applications dans l’ensemble de l’organisation, et 27 % des organisations en gèrent plus de 300.
Cependant, beaucoup de ces applications ne prennent pas en charge l’authentification via le SSO. La majorité des organisations interrogées (57 % des répondants) déclarent avoir jusqu’à 50 applications qui ne le prennent pas encore en charge, et 14 % ont plus de 100 applications non prises en charge par le SSO.
Les lacunes du SSO en chiffres
Applications de l’organisation non prises en charge par le SSO | Répondants |
|---|---|
1 à 50 | 56,6 % |
51 à 100 | 15,7 % |
101 à 200 | 7,2 % |
201 à 300 | 3,6 % |
201 à 300 | 3,6 % |
Inconnu | 13,3 % |
« L’authentification unique simplifie l’accès de nos utilisateurs en leur permettant de s’authentifier une seule fois et d’accéder à plusieurs systèmes », a déclaré une personne interrogée. « Cependant, elle ne couvre pas toutes les applications, comme les systèmes hérités, les outils de tierce partie ou le shadow IT. »
Microsoft Entra ID est de loin le choix le plus populaire pour mettre en œuvre l’authentification unique, 40 % des répondants l’utilisant pour sécuriser l’authentification dans leur organisation. 12 % utilisent Okta, et 7 % Google Identity.
Quelle que soit la plateforme utilisée, et malgré ses limites, l’authentification unique offre des avantages considérables. Comme l’a résumé un responsable : « Utiliser l’authentification unique pour toutes les applications prises en charge centralise l’authentification, simplifie la gestion du cycle de vie et renforce la sécurité. »
L’authentification unique ne suffit pas pour la plupart des organisations
Avec autant d’applications encore non prises en charge par l’authentification unique, il n’est pas surprenant que largement plus de la moitié (62 %) des répondants déclarent que l’authentification unique seule ne suffit pas à leur organisation pour atteindre une posture d’authentification sécurisée.
Le risque lié aux applications non couvertes par l’authentification unique est réel. Près d’un cinquième des répondants (18 %) ont indiqué que leur organisation avait connu un incident de sécurité lié à une application ou à un compte non sécurisé par l’authentification unique. Fait surprenant, un nombre légèrement supérieur (19 %) ne savent même pas s’ils ont connu un incident ou non, probablement parce que bon nombre de ces applications non couvertes par l’authentification unique relèvent du « shadow IT », hors du contrôle et de la supervision des équipes IT.
Par conséquent, la plupart des organisations utilisent des méthodes supplémentaires pour assurer la sécurité des applications. Les solutions de gestion des mots de passe et d’authentification multifacteur (MFA) sont les principales techniques utilisées par les organisations pour sécuriser les applications en dehors de l’authentification unique.
Une personne interrogée a résumé son approche ainsi : « S’assurer que le fournisseur d’authentification unique est utilisé partout où c’est possible, imposer une 2FA forte et utiliser le gestionnaire de mots de passe comme complément sécurisé pour les comptes qui ne peuvent pas être intégrés à l’authentification unique. »
Des couches de sécurité supplémentaires, ainsi qu’une communication et une sensibilisation proactives, sont également essentielles pour garantir que les employés comprennent les bonnes pratiques d’authentification.
« L’authentification unique n’est pas une solution miracle », a déclaré une personne interrogée. « Assurez-vous que des contrôles supplémentaires sont en place pour protéger les données des applications. »
Autres méthodes pour sécuriser les applications en dehors de l’authentification unique ou de la gestion des mots de passe
66 % - 2FA ou MFA
35 % - E-mail et mot de passe gérés par l’employé
21 % - Authentification unique sans SAML
18 % - Clés d’accès
16 % - Gestion des accès à privilèges
6 % - Proxy applicatif
1 % - Autre
Les applications non couvertes par l’authentification unique ont souvent un fort impact
Si vous pensez que l’authentification unique couvre toutes les applications « importantes » et que celles qui n’en bénéficient pas sont sans importance pour la sécurité, détrompez-vous.
Un quart des répondants ont estimé que les applications non prises en charge par l’authentification unique présentaient un « risque considérable » ou un « risque élevé » pour leur organisation. Ils ont indiqué que beaucoup étaient des applications ayant un impact important sur l’activité, contenaient des données sensibles, pouvaient être facilement compromises par des mots de passe faibles et, dans certains cas, ne prenaient pas en charge la MFA.
35 % supplémentaires ont déclaré que ces applications présentaient au moins un « risque moyen », ce qui signifie qu’au total, 55 % estimaient que les applications non couvertes par l’authentification unique représentaient un risque moyen à élevé pour l’organisation. Personne n’a affirmé que les applications non couvertes par l’authentification unique ne présentaient aucun risque.
« Toutes les applications que vous pourriez considérer comme critiques pour l’activité ne prennent pas forcément en charge l’authentification unique nativement », a déclaré une personne interrogée. « Changer cela prend du temps. D’après mon expérience, les utilisateurs métier ne choisissent généralement pas les applications pour leurs capacités d’authentification unique. Leur imposer cela favorise le shadow IT. »
Même de grandes applications cloud n’offrent pas toujours la prise en charge de l’authentification unique dont les organisations ont besoin. Comme l’a expliqué un responsable IT : « De nombreuses plateformes SaaS “matures” sont encore en retard sur l’authentification unique, et presque toutes les organisations ont encore des besoins d’authentification héritée qui doivent aussi être bien gouvernés. »
Ce risque n’est pas seulement théorique. Comme indiqué ci-dessus, 18 % des répondants déclarent que leur organisation a connu un incident de sécurité dû à l’absence de prise en charge de l’authentification unique.
« Même si vous êtes très efficace pour connecter vos applications à l’authentification unique, vous aurez toujours des applications qui ne peuvent pas y être connectées, comme les applications héritées et les applications externes (non gérées par votre entreprise) », a déclaré une personne interrogée.
25 % des répondants déclarent que les applications non couvertes par l’authentification unique présentent un risque considérable ou élevé
35 % des répondants classent les applications non couvertes par l’authentification unique comme présentant un risque moyen
18 % des organisations ont connu un incident de sécurité dû à une application non couverte par l’authentification unique
Shadow IT : un défi majeur
Le principal problème pour les responsables IT qui cherchent à établir une posture d’authentification sécurisée pour leur organisation est celui des applications de « shadow IT » installées par les utilisateurs métier hors de la supervision et sans le support de l’IT.
Soixante-cinq pour cent des répondants ont cité le shadow IT comme leur principal défi lorsqu’ils tentent de sécuriser l’authentification des applications qui ne prennent pas en charge l’authentification unique.
Le deuxième défi, cité par 43 % des répondants, était la coopération des employés.
Pour surmonter ces deux obstacles, il faut communiquer clairement les avantages de l’authentification unique et la nécessité (ainsi que la simplicité) d’utiliser un gestionnaire de mots de passe pour les applications qui ne la prennent pas en charge.
Un répondant a indiqué : « L’authentification unique ne couvre pas toutes les applications, comme les systèmes hérités, les outils de tierce partie ou l’informatique fantôme. C’est là qu’un gestionnaire de mots de passe complète l’authentification unique en stockant et en gérant de façon sécurisée les identifiants des comptes situés hors de l’écosystème d’authentification unique. »
Un autre répondant a évoqué le fonctionnement d’un gestionnaire de mots de passe en tant que solution complémentaire pour garantir une sécurité complète. « Considérez l’authentification unique comme votre principal contrôleur d’accès pour les applications intégrées, et le gestionnaire de mots de passe comme un filet de sécurité obligatoire pour tout le reste — en particulier les applications héritées, les secrets d’équipe partagés et l’informatique fantôme — afin de créer une stratégie complète de défense en profondeur. »
Avec un gestionnaire de mots de passe, les utilisateurs finaux peuvent sécuriser tous les identifiants dont ils ont besoin dans leur travail quotidien, y compris ceux d’applications non couvertes par l’authentification unique et inconnues de l’équipe informatique (informatique fantôme).
Principaux défis liés à la sécurisation des applications non couvertes par l’authentification unique
58 % - Visibilité des applications (informatique fantôme)
39 % - Coopération des employés
30 % - Trop d’applications
27 % - Budget
16 % - Adhésion de la direction
5 % - Autre
Bitwarden : le complément idéal de l’authentification unique
Le gestionnaire de mots de passe Bitwarden est une solution puissante et pratique qui complète l’authentification unique et assure la sécurité de toutes les applications — aussi bien celles qui sont couvertes par l’authentification unique que celles qui ne le sont pas.
« Bitwarden nous accompagne pour les comptes où l’authentification unique est activée et ajoute une option 2FA supplémentaire sous la forme d’une application d’authentification ou de clés d’accès », a déclaré un répondant.
Plus des trois quarts des répondants (77 %) indiquent que le gestionnaire de mots de passe Bitwarden est « efficace » ou « très efficace » pour sécuriser les applications non prises en charge par l’authentification unique.
Quatre-vingt-cinq pour cent ont indiqué que le gestionnaire de mots de passe Bitwarden renforce la sécurité de leur organisation lorsqu’il est utilisé avec l’authentification unique, tandis que 83 % déclarent qu’il a réduit le risque lié aux identifiants de leur organisation.
C’est aussi une solution pratique qui facilite la vie des utilisateurs. Soixante-dix pour cent des répondants déclarent que leurs utilisateurs bénéficient de connexions simplifiées depuis l’adoption du gestionnaire de mots de passe Bitwarden.
« Il y a certaines choses que l’authentification unique ne couvre tout simplement pas », a déclaré l’un d’eux. « Utiliser Bitwarden avec un compte d’organisation permet aux utilisateurs de partager des identifiants en toute sécurité et même de configurer la MFA dans certains cas »
Un autre répondant s’est enthousiasmé en expliquant qu’il utilise aussi Bitwarden pour ses mots de passe personnels. « C’est le meilleur des deux mondes ! J’utilise Bitwarden pour mes mots de passe personnels comme professionnels, et j’encourage mes utilisateurs à faire de même. »
Principaux avantages de Bitwarden et de l’authentification unique
83 % constatent une sécurité renforcée
83 % constatent une réduction du risque lié aux identifiants
70 % constatent des connexions simplifiées
Méthodologie
Bitwarden a interrogé 93 clients entreprises, dont 74 admins informatiques, 11 dirigeants et 6 responsables de département, du 28 octobre 2025 au 6 janvier 2026.
Démarrer avec le gestionnaire de mots de passe Bitwarden
Pour en savoir plus sur la façon dont Bitwarden peut aider à sécuriser l’authentification aux applications non couvertes par l’authentification unique, démarrez un essai gratuit de 7 jours pour les entreprises dès aujourd’hui.