Notre approche de la sécurité Keycloak en 2026

David MACE
June 29, 2026

Si vous lisez ces lignes, c'est probablement que vous avez traversé plusieurs opérations de mise à jour de sécurité sur vos environnements Keycloak ces derniers mois. Pour beaucoup d'entre vous, cela représente déjà plus d'opérations en 5 mois que sur toute l'année 2025. Une troisième campagne est en cours au moment où j'écris ce billet en mai 2026.

Quelques réflexions que je voulais partager avec vous, en dehors de toute urgence : ce qui se joue aujourd'hui dans le monde de la gestion des identités et des accès, ce que nous absorbons à votre place, et ce qui change dès maintenant pour que cette charge ne retombe pas sur vos équipes.

L'état de la menace dans l'IAM aujourd'hui

L'identité est devenue la cible numéro un. Le NIST et la CISA l'ont confirmé fin 2025 dans leur rapport conjoint Protecting Tokens and Assertions from Forgery, Theft, and Misuse, publié après une série d'incidents majeurs visant les systèmes d'identité de grandes organisations. Côté européen, l'ENISA aboutit à la même conclusion dans son Threat Landscape 2025 : l'identité des utilisateurs est devenue le premier périmètre de sécurité. Quand l'IAM tombe, tout tombe avec lui, et les attaquants l'ont compris avant beaucoup d'organisations.

Keycloak se trouve au cœur de cette ligne de front. Standard de fait de l'IAM open source, il est scruté en permanence par les chercheurs en sécurité, par les grandes entreprises qui l'exploitent à grande échelle, et désormais par des agents d'analyse de code pilotés par l'IA. Ce n'est pas de la spéculation : rien qu'en 2025, GitHub a publié 35 % de CVE de plus que l'année précédente, et Daniel Stenberg, le créateur de curl, a documenté l'évolution des signalements liés à l'IA sur son propre projet : 2 cas en 2023, 6 en 2024, 37 en 2025. Résultat : un flux continu de vulnérabilités identifiées et corrigées. Ce n'est ni une dérive ni un signal d'alarme, c'est la signature d'un projet vivant, où chaque faille découverte est une faille divulguée et corrigée. Nous sommes reconnaissants aux mainteneurs de Keycloak pour la rigueur et la constance de leur travail.

Ce que cela change pour vous : sécuriser Keycloak en 2026 n'est plus un sprint une fois par an. C'est une pratique continue. Et c'est précisément pour cela que beaucoup de nos clients nous ont rejoints : pour s'assurer une sécurité continue, et être accompagnés à chaque opération.

Ce qui se passe avant qu'une opération n'atteigne votre environnement

Quand une opération de mise à jour est programmée de votre côté, ce n'est que la partie visible d'un travail amorcé plusieurs jours avant, ou plusieurs heures pour les cas critiques.

Concrètement, notre équipe technique qualifie les CVE une par une et analyse les vecteurs d'attaque applicables à chaque type de déploiement. Elle teste ensuite la version cible en validation, puis en préproduction, puis en production. Vient ensuite la validation de non-régression, non seulement sur Keycloak lui-même, mais aussi sur chaque opération propre au service managé : sauvegarde, rolling upgrade, installation, restauration, et tout ce qui constitue la mécanique quotidienne de votre environnement. En parallèle, les fenêtres de maintenance sont planifiées et les communications adaptées selon les profils de clients impactés.

Voilà ce que vous ne voyez pas, et c'est exactement ce qui transforme un défi commun à tout le secteur en une opération cadrée de votre côté, avec un plan de remédiation déjà validé.

Ce qui change, dès maintenant

Deux briques sont en cours de déploiement par nos équipes techniques sur l'ensemble des environnements, avec une activation progressive d'ici la fin du T2 2026. Vous les verrez apparaître dans votre console au cours des prochaines semaines.

EMS, Extension Management System

EMS introduit la validation automatisée des releases : à chaque fois qu'une nouvelle release d'extension est soumise à la plateforme, nous testons son démarrage avec Keycloak pour nous assurer que la mise à jour ne cassera pas votre service. La validation garantit que votre release démarre proprement avec Keycloak. Plus de détails sur le périmètre.

En pratique : la moitié des situations où une opération CVE était jusqu'ici bloquée au démarrage, faute de savoir si votre extension survivrait à la mise à jour, disparaît tout simplement. Il ne vous reste qu'à vérifier que votre code se comporte comme prévu.

Upgrade On-Demand

Vous gardez la main de bout en bout. Depuis la console, vous choisissez le moment exact où la mise à jour est déclenchée, dans le délai ISO 27001 que nous nous imposons. Un jeudi après votre sprint, impossible en journée ? Programmez l'opération pour la nuit. C'est vous qui décidez, et vous gardez la main sur votre propre planning.

D'autres améliorations arrivent. Je vous en parlerai quand elles seront prêtes, pas avant.

En conclusion

Je ne vais pas vous promettre qu'il n'y aura plus d'opérations CVE. Il y en aura : c'est la nature même d'une infrastructure d'identité moderne. Mais à chaque opération, je veux que vous constatiez et ressentiez concrètement que la friction diminue.

Si vous rencontrez la moindre friction, frustration, ou si vous avez des idées pour faciliter la sécurisation de votre environnement Keycloak, je suis là et disponible. Contactez-moi directement ou via le support : vos retours me parviennent toujours. Je prendrai le temps de comprendre vos contraintes et de les laisser façonner le produit.

À chaque pas que nous faisons ensemble, nous améliorons la façon dont votre stack IAM Keycloak est gérée.

X min de lecture

Table des matières

Nos autres articles

REX

Traquer un pic CPU fantôme de 40 % sur Keycloak 26.6

June 29, 2026
Produit

Mises à jour sans interruption : comment Cloud-IAM maintient vos clusters Keycloak toujours disponibles

July 1, 2025
REX

Quand votre page de connexion devient la ligne de front : leçons tirées d'une attaque DDoS

February 12, 2026