Tribune libre – Par William Culbert, Directeur EMEA Sud de BeyondTrust
Quand il s’agit de produits, l’impact d’une expérience utilisateur (UX) insuffisante est assez simple : des produits mal conçus seront peu ou pas du tout utilisés, ni même adoptés. Mais quand il est question de produits de cybersécurité, l’UX revêt une grande importance car ceux qui les utilisent n’ont souvent pas le choix de ne pas les adopter. C’est souvent l’équipe IT interne qui choisit et impose d’utiliser tels ou tels produits. Et s’ils ne plaisent pas aux utilisateurs, ceux-ci recherchent des moyens de contournement parfois plus risqués et insécurisants que le problème que le produit a vocation à régler.
C’est pourquoi la sécurité doit être totalement fluide, faire partie du flux normal des opérations. Elle ne doit pas entraver l’utilisateur dans son intention. Mais comment trouver le juste équilibre entre UX satisfaisante et sécurité optimale ?
Le bon compromis entre sécurité et facilité d’utilisation
Prenons l’exemple d’une expérience utilisateur où l’amélioration de l’UX créerait une faille de sécurité. En cas d’échec de connexion à Twitter, le message d’erreur ne précise pas laquelle des deux informations n’est pas reconnue entre le mot de passe et l’adresse e-mail. Ici, l’expérience utilisateur n’est pas satisfaisante. Mais il y a une excellente raison de sécurité pour cela. Le message d’erreur de Facebook quant à lui fait savoir à l’utilisateur qu’il n’existe pas de profil pour l’adresse e-mail indiquée ou, ce qui peut être plus judicieux encore, qu’un profil lié à cette adresse e-mail existe bien. Peut-être qu’une fuite de la base utilisateur n’est pas si gênante pour Facebook car tout le monde ou presque y est présent, mais on peut penser à de nombreux autres services où une telle fuite pourrait avoir de sérieuses implications.
C’est ce genre de problèmes qui amènent les gens à penser que la sécurité pénalise l’expérience utilisateur et qu’une bonne expérience utilisateur nuit à la sécurité. La sécurité relève du choix or si la pratique est jugée difficile, les gens ne la choisiront pas. Donc, en fluidifiant la procédure et en simplifiant les processus, on peut aider les utilisateurs à faire de meilleurs choix pour leur sécurité.
« Si ce n’est pas facile à utiliser, ce n’est pas sûr » (Jared Spool)
Vous avez peut-être vu la vidéo de la visite de Kanye West à l’ancien Président Trump. On l’y voit déverrouiller son smartphone avec le code 0-0-0-0-0-0. Les gens savent très bien que ce code n’est pas sûr mais, à leurs yeux, un code plus sûr et donc complexe n’est pas aussi facile à utiliser, ni à mémoriser. Aujourd’hui, la plupart des gens ont besoin d’accéder instantanément à leur smartphone que ce soit pour communiquer avec des contacts ou débloquer leur porte d’entrée, aussi la rapidité prime souvent sur la sécurité.
C’est là qu’intervient la biométrie. Elle améliore nettement la sécurité et l’expérience utilisateur et est un parfait exemple d’UX capable de renforcer la sécurité. Les gens adoptent volontiers la biométrie car c’est plus simple et rapide, avec une meilleure sécurité à la clé. Mais bien sûr, la biométrie peut quand même être piratée. Il est donc recommandé de combiner la vérification biométrique et l’authentification multifactorielle pour protéger au mieux les systèmes d’entreprise.
Erreur humaine ou erreur système ?
Outre les tentatives d’évitement ou de contournement des mesures de sécurité, il ne faut pas négliger la simple « erreur humaine ». Cette dernière joue un rôle dans la majorité des compromissions de cybersécurité constatées aujourd’hui. Cela signifie-t-il qu’un grand nombre de personnes sont négligentes ? Je dirais que non, c’est plutôt un problème de design.
En 1979, l’accident de Three Mile Island fut le pire accident nucléaire de l’industrie américaine. Une valve était restée ouverte, de grandes quantités de réfrigérant du cœur de réacteur se sont échappées et les opérateurs de la centrale n’ont rien fait pour refermer la valve car ils ignoraient qu’elle était bloquée en position ouverte. Sur le panneau de contrôle de la centrale, un témoin semblait indiquer que la valve était fermée alors qu’il signifiait que la valve était alimentée. Les opérateurs de la salle de contrôle ont mal interprété le signal et le problème a perduré des heures. Une simple étiquette ou un bouton auraient suffi à diminuer voire à éviter cet accident de grande ampleur. Une bonne UX évite aux gens de se tromper ou leur permet de rétablir facilement la situation en cas d’erreur. La solution ne consiste pas à réprimander ou à faire suivre une formation intensive mais à repenser la conception du système pour qu’elle soit moins sujette à erreur.
Don Norman, expert UX prétend que l’on devrait parler d’« erreur système » et non d’ « erreur humaine ». C’est dans la nature de l’homme de commettre des erreurs. Les concepteurs de produits devraient donc anticiper les conditions dans lesquelles des erreurs risquent d’être commises, concevoir le système de façon à les empêcher et mettre en place des mesures pour d’éventuelles erreurs impossibles à anticiper.
Voici quelques conseils pour bien concevoir un système :
- Ne pas utiliser la peur comme incitation à suivre les bonnes pratiques de sécurité : C’est une émotion négative qui déclenche une réaction de lutte ou de fuite. Elle n’encouragera pas la confiance ni un sentiment positif envers l’entreprise. Des personnes effrayées commettent des erreurs et les erreurs conduisent à des compromissions de sécurité.
- Récompenser les bonnes pratiques de sécurité : Chaque fois qu’un utilisateur accomplit une tâche liée à la sécurité, il est bon de marquer le coup en lui adressant un message ou une animation pour y associer autant d’émotions positives que possible.
- Expliquer les raisons aux utilisateurs : Un utilisateur qui comprend a moins le sentiment de subir une contrainte. Il a aussi le sentiment de participer à quelque chose de vertueux et de faire partie de la solution. Il devient partenaire de la stratégie de sécurité.
- Anticiper les erreurs : Les utilisateurs sont des êtres humains et les êtres humains commettent des erreurs. Il s’agit de concevoir le système de façon à éviter le risque d’erreur humaine, tout en facilitant le rétablissement de la situation si jamais une erreur devait être commise.
Des mesures de sécurité s’imposent, nous le savons tous, et les utilisateurs s’y attendent. Mais pour que cela fonctionne, il faut que les produits soient effectivement adoptés et utilisés. Les gens privilégieront le principe de moindre résistance. Or le meilleur encouragement est celui de la facilité. Plus quelque chose est facile à faire, plus il y a de chances que les gens le fassent. D’où l’importance d’une UX conciliant facilité et intuitivité pour favoriser la sécurité.
William Culbert, BeyondTrust
