Yubico pour les entreprises : de combien de YubiKeys avez-vous besoin et comment les gérer
Protéger une équipe de travail n'est pas la même chose que protéger un compte personnel. Lorsqu'il y a 10, 50 ou 200 personnes ayant accès à des systèmes critiques, la question n'est pas de savoir s'il faut utiliser une YubiKey, mais comment l'organiser sans que cela ne devienne un problème opérationnel.
Ce guide s'adresse aux responsables informatiques, aux directeurs des opérations et à toute personne devant prendre cette décision : combien de clés commander, comment les distribuer et quels outils existent pour les gérer.
De combien de YubiKeys votre entreprise a-t-elle besoin ?
La règle de base : une clé par employé, plus une de secours pour chaque profil critique. Mais le nombre réel dépend de qui a accès à quoi.
Tous les rôles n'ont pas le même niveau d'exposition. Un employé ayant accès uniquement à la messagerie d'entreprise n'a pas besoin du même niveau de protection qu'une personne ayant accès à des serveurs de production ou à des données financières.
| Profil | Clés recommandées | Pourquoi |
|---|---|---|
| Employé standard (email, applis SaaS) | 1 clé | Accès limité, risque moyen |
| Manager avec accès à des données sensibles | 2 clés | Sans secours, un incident bloque l'accès |
| IT / admin sys / DevOps | 2 clés minimum | Accès aux systèmes et serveurs critiques |
| Direction / C-level | 2 clés + 1 sous garde | Cible prioritaire dans les attaques ciblées |
| Télétravail / prestataire externe | 1-2 clés selon l'accès | Connexion hors du périmètre de l'entreprise |
Yubico recommande de toujours enregistrer au moins deux clés par utilisateur. Si quelqu'un perd la sienne et qu'il n'y a pas de sauvegarde enregistrée, récupérer l'accès peut prendre des heures — voire des jours. Dans les environnements critiques, cela a un coût réel.
Référence rapide par taille d'équipe
Pour vous orienter avant de passer commande :
| Taille de l'équipe | Clés minimum | Clés recommandées | Remarques |
|---|---|---|---|
| 1–10 personnes | 10 | 15–20 | Inclure une sauvegarde pour les profils critiques |
| 11–50 personnes | 50 | 65–80 | Sauvegarde pour l'IT et la direction au minimum |
| 51–200 personnes | 200 | 250–280 | Envisager un déploiement par phases |
| 200+ personnes | Variable | Contacter Yubico directement | Programme Yubico for Enterprise avec tarification progressive |
Quel modèle de YubiKey choisir pour une entreprise
Le modèle dépend des ports disponibles sur les ordinateurs de l'équipe. Dans des environnements mixtes — ordinateurs portables récents avec USB-C et ordinateurs de bureau avec USB-A — le plus courant est de choisir un modèle et de le compléter avec des adaptateurs, ou de distribuer deux modèles différents.
YubiKey 5 NFC (USB-A)
Le modèle le plus répandu en entreprise. Compatible avec la plupart des ordinateurs de bureau et portables dotés d'un port USB-A. Le NFC permet également de l'utiliser depuis un mobile sans adaptateurs.
YubiKey 5C NFC (USB-C)
Pour les ordinateurs modernes avec USB-C. MacBooks, portables Dell ou Lenovo de dernières générations. Si le parc informatique est majoritairement en USB-C, c'est le modèle à choisir.
YubiKey 5 Nano / 5C Nano
Pour les personnes qui travaillent toujours sur le même ordinateur et préfèrent laisser la clé insérée en permanence. Elle reste presque à fleur de port — sans dépasser.
Si vous avez des ordinateurs USB-A et USB-C dans la même organisation, l'option la plus pratique est généralement de standardiser sur la YubiKey 5 NFC (USB-A) et de distribuer des adaptateurs USB-C si nécessaire. Cela réduit le nombre de références à gérer.
Comment gérer les YubiKeys dans une organisation
La plus grande erreur dans les déploiements d'entreprise n'est pas de choisir le mauvais modèle — c'est de ne pas avoir de système pour savoir qui a quelle clé, quels accès sont enregistrés et quoi faire quand quelqu'un part.
Yubico Enterprise Subscription
Yubico propose un programme d'abonnement pour les entreprises qui inclut le remplacement des clés sans frais supplémentaires, un support prioritaire et l'accès à YubiEnterprise Delivery — un système pour distribuer les clés directement aux employés à distance sans passer par le service informatique.
YubiKey Manager
L'outil officiel de Yubico pour configurer les clés individuellement. Il permet de gérer les slots de la clé, de voir quelles applications sont configurées et de réinitialiser une clé avant de la réattribuer. Gratuit, disponible pour Windows, macOS et Linux.
Yubico SCIM Tool
Pour les organisations qui utilisent des fournisseurs d'identité comme Okta, Azure AD ou Google Workspace. Il permet de provisionner et de déprovisionner automatiquement les clés lorsqu'un employé rejoint ou quitte l'entreprise.
Enregistrement dans l'IdP
Quel que soit l'outil, le flux de gestion passe toujours par le fournisseur d'identité. La YubiKey n'a aucune valeur si elle n'est pas enregistrée dans le système qui contrôle les accès. Le processus standard est le suivant : attribuer la clé → l'employé l'enregistre dans l'IdP → l'IT vérifie l'enregistrement → l'accès est activé.
Le protocole de départ (offboarding) doit explicitement inclure la YubiKey. D'abord, on désactive l'accès dans l'IdP. Ensuite, on récupère la clé physique. S'il est impossible de la récupérer — employé à distance, perte — l'enregistrement est révoqué et la clé est réinitialisée si elle doit être réutilisée.
Protéger les clés physiquement
Une YubiKey sans étui finit rayée au fond d'un sac à dos ou en s'entrechoquant avec les clés de voiture sur un porte-clés. Dans un déploiement d'entreprise, où les clés passent entre de nombreuses mains et dans différentes situations, la protection physique n'est pas un détail mineur.
Holdtag fabrique des accessoires spécifiques pour YubiKey — étuis, plateaux au format carte de crédit et portefeuilles avec blocage RFID — conçus pour un usage quotidien en milieu professionnel. Fabriqués en Espagne, en PLA+ haute résistance.
Plateau YubiKey 2 fentes
Format carte de crédit. Deux fentes — clé principale et sauvegarde sur la même carte. Tient dans n'importe quel portefeuille. Idéal pour les profils qui transportent deux clés.
Étui YubiKey PLA+
Protection pour un usage quotidien avec porte-clés intégré. Protège contre les chocs et les rayures. Pour ceux qui ont toujours leur clé sur eux.
Pour les commandes d'entreprise en volume, les conditions spéciales ou la personnalisation, consultez la page des solutions pour entreprises.
Foire Aux Questions
Peut-on utiliser une seule YubiKey pour plusieurs services ?
Oui. Une seule YubiKey peut être enregistrée sur plusieurs services en même temps — Google Workspace, Microsoft 365, GitHub, Okta et autres. Il n'y a pas de limite pratique au nombre d'enregistrements. Chaque service conserve sa propre trace de la clé.
Que se passe-t-il si un employé perd sa YubiKey ?
S'il existe une clé de secours enregistrée, l'employé peut l'utiliser pour se connecter en attendant le remplacement. S'il n'y a pas de secours, le service informatique doit récupérer l'accès par une autre méthode — ce qui peut prendre du temps. C'est pourquoi la sauvegarde est essentielle pour les profils critiques.
Peut-on réutiliser la YubiKey d'un employé qui a quitté l'entreprise ?
Oui, mais avec le bon protocole. Il faut d'abord révoquer tous les enregistrements dans l'IdP. Ensuite, on peut réinitialiser la clé avec YubiKey Manager et la réattribuer à un autre employé. Si cet ordre n'est pas respecté, il y a un risque que l'ancienne clé soit toujours active sur un service.
La YubiKey fonctionne-t-elle avec Google Workspace et Microsoft 365 ?
Oui, les deux plateformes sont compatibles avec YubiKey comme méthode d'authentification FIDO2. Google Workspace la prend en charge nativement. Microsoft 365 également, via Azure Active Directory. La configuration nécessite de l'activer depuis le panneau d'administration.
Existe-t-il des remises sur volume pour les entreprises ?
Yubico propose le programme YubiEnterprise Subscription pour les commandes d'entreprise, avec des tarifs dégressifs et un service de remplacement inclus. Pour les accessoires Holdtag en volume, vous pouvez consulter les conditions sur la page des solutions pour entreprises.
La YubiKey fonctionne en entreprise — s'il y a un système derrière
La clé physique est la partie facile. Ce qui fait qu'un déploiement réussit ou échoue, c'est le processus : qui a quelle clé, quels accès sont enregistrés, et ce qui se passe quand quelqu'un part. Sans ce système, vous vous retrouvez avec des clés perdues, des accès non révoqués et un service informatique qui gère les exceptions.
Commencez par les profils les plus à risque — IT, direction, accès aux systèmes critiques. Définissez le protocole d'intégration et de départ avant d'acheter les premières clés. Et assurez-vous que chaque profil critique a sa sauvegarde enregistrée dès le premier jour.
