Identité unifiée en entreprise : pourquoi l'alternative à Microsoft et Google mérite enfin d'être prise au sérieux

L'identité d'entreprise est devenue le talon d'Achille de votre indépendance numérique

Depuis des années, la gestion des identités en entreprise s'est consolidée autour de deux acteurs dominants américains : l'annuaire d'un côté, la suite bureautique de l'autre. Résultat : la majorité des PME et ETI européennes ont, souvent par défaut et sans décision explicite, confié l'intégralité de leur chaîne d'authentification à des infrastructures soumises au Cloud Act américain.

L'approche dite « converged credentials » — qui consiste à unifier sur un socle commun l'accès physique (badges, portes, zones sécurisées) et l'accès logique (applications, VPN, postes de travail) — repose depuis toujours sur une promesse séduisante : une identité unique, un cycle de vie centralisé, moins de silos. Mais dans la pratique, cette convergence s'est systématiquement construite *autour* des écosystèmes dominants, et rarement *en dehors* d'eux.

En 2026, ce statu quo est attaqué sur deux fronts simultanément : la pression réglementaire européenne (NIS2, DORA) et l'émergence d'architectures d'identité pensées pour être interopérables sans dépendance à un fournisseur unique.

Ce que NIS2 et DORA changent concrètement pour vous

Deux textes, une même logique : vous êtes désormais responsable de la cartographie réelle de vos dépendances critiques, y compris celles qui concernent la gestion des identités.

NIS2 impose aux opérateurs d'entités essentielles et importantes de documenter et de maîtriser leur chaîne d'approvisionnement numérique. Si votre gestion des identités repose intégralement sur un annuaire cloud hébergé hors UE, vous avez un problème de conformité qui ne se résoudra pas avec un avenant contractuel.

DORA, côté financier, va plus loin : il exige une capacité de résilience opérationnelle démontrable, y compris en cas d'indisponibilité d'un tiers critique. Autrement dit, si votre authentification dépend d'un service cloud américain et que ce service est coupé — ou soumis à une injonction extraterritoriale — votre capacité à démontrer la continuité d'activité devient juridiquement fragile.

Le Cloud Act n'est pas une abstraction. C'est un mécanisme légal actif qui permet à des autorités américaines d'accéder à des données hébergées par des entreprises américaines, *y compris* sur des infrastructures situées en Europe. Confier la source de vérité de vos identités à un acteur américain, c'est accepter cette exposition.

L'enjeu réel : qui contrôle le cycle de vie de l'identité ?

La question n'est pas de savoir si une solution d'identité convergée est techniquement efficace. La question est : qui contrôle le référentiel d'identité, où résident les données, et sous quelle juridiction ?

Une architecture converged credentials qui s'appuie sur un Identity Provider (IdP) hébergé dans un cloud soumis au droit américain ne résout pas le problème de souveraineté — elle le déplace simplement. Vous gagnez en ergonomie, vous ne gagnez pas en indépendance.

C'est là que le travail du DSI devient stratégique plutôt que technique. Avant toute décision d'architecture, trois questions s'imposent :

1. Où réside physiquement et juridiquement le référentiel d'identité ?

Un hébergement en France ou en Allemagne ne suffit pas si l'entité juridique qui opère le service est américaine. La localisation des données et la localisation de la responsabilité légale sont deux choses distinctes.

2. L'architecture est-elle réversible ?

Une identité convergée construite autour de protocoles ouverts (SAML, OIDC, FIDO2) avec un IdP substituable vous laisse des options. Une identité construite autour des API propriétaires d'un acteur dominant vous enferme.

3. Quel est votre plan de continuité si l'accès au service est interrompu ?

NIS2 et DORA posent cette question de manière explicite. Votre réponse doit être documentée et testée, pas théorique.

Ce que les DSI européens peuvent faire maintenant

L'approche converged credentials n'est pas à rejeter — elle répond à un besoin réel de simplification et de sécurisation du cycle de vie des identités. Mais elle doit être construite sur des fondations qui ne créent pas de nouvelle dépendance critique.

Concrètement, cela signifie auditer votre chaîne d'identité actuelle en remontant jusqu'à l'IdP racine, identifier les composants soumis à une juridiction extraeuropéenne, et évaluer les alternatives qui permettent une convergence physique/logique sans consolider la dépendance à un acteur dominant américain.

Des acteurs comme Thales, via sa division Identity & Security, positionnent des offres d'identité convergée avec un ancrage juridique européen explicite. Ce n'est pas une garantie absolue, mais c'est un point de départ légitime pour une due diligence sérieuse.

L'identité n'est pas un sujet périphérique de votre SI. C'est le plan de contrôle. En 2026, laisser ce plan de contrôle sous juridiction américaine n'est plus seulement un risque stratégique — c'est potentiellement un écart de conformité documentable.

Le chantier est ouvert. Il n'attend plus que la décision.