Et si la cybersécurité n’était plus vécue comme une contrainte mais comme un réflexe ? Mais pour faire de la personne entre le clavier et la chaise un vrai garant de l’hygiène numérique, encore faut-il que les outils mis à sa disposition lui donnent envie de s’y mettre. Avec l’UX, les entreprises ont une carte à jouer en ce sens.
L'année 1993 est la date de naissance du concept d’expérience utilisateur (« user experience »), imaginé par Don Norman, pour qui « tous les aspects de l’expérience d’un individu avec un système doivent être pris en compte ». Toute la démarche qui se cache derrière ce concept est de donner envie aux utilisateurs de s’approprier un outil, d’en assimiler les tenants et les aboutissants et d’en tirer un bénéfice. Cette « user eXperience » (UX) s’applique désormais à n’importe quel domaine, et présente un intérêt tout particulier dans les stratégies numériques des entreprises. Au service d’une cybersécurité efficace, l’UX peut se révéler être un réel atout et renforcer la posture de défense d’une entreprise et la confiance numérique des collaborateurs.
Une cybersécurité réussie passe aussi par l’UX
L’UX n’est pas strictement réservée à ce que l’on appelle « l’utilisateur final ». L’adoption et la prise en main d’un produit de sécurité par un administrateur sont toutes aussi importantes. Il faut donc distinguer deux grands types de bénéficiaires de l’UX dans le monde cyber : l’utilisateur technique (administrateur) et l’utilisateur final. « Il existe des interfaces pour les administrateurs et des interfaces pour le business. L’objectif de l’UX est que, dans les deux cas, elles soient utilisables par tout un chacun – en restant simples dans le cadre d’un utilisateur lambda et plus complexes pour un expert », explique Sébastien Viou, Directeur Cybersécurité Produit et Cyber-Évangéliste chez Stormshield. Un administrateur va avoir besoin d’une solution de sécurité avec une bonne UX pour faciliter l’administration d’agents sur le parc informatique, la mise en œuvre de politiques de sécurité, ou encore la supervision d’évènements. Point critique en cybersécurité également : une bonne UX aidera à l’administrateur à réduire les potentielles erreurs de configuration dans les outils de sécurité – qui deviennent aussitôt des failles pour l’entreprise. Quant à l’utilisateur final, l’UX doit lui permettre de s’approprier facilement un produit, de le comprendre et d’avoir envie de l’utiliser, ou parfois même de se faire oublier. Il faut donc favoriser la mise en œuvre de la cybersécurité grâce à l’UX, en tenant compte de la réalité des usages qui se trouvent derrière.
L’objectif de l’UX est que, dans les deux cas, elles soient utilisables par tout un chacun – en restant simples dans le cadre d’un utilisateur lambda et plus complexes pour un expert
Sébastien Viou, Directeur Cybersécurité Produit et Cyber-Évangéliste Stormshield
L’UX prend d’ailleurs une place de plus en plus importante dans la conception de solutions de cybersécurité. Et, comme l’indiquait Guillaume Poupard, Directeur général de l’ANSSI, en 2018 déjà : « Il faut rendre la sécurité numérique sexy, c’est-à-dire compréhensible ». « Il faut comprendre ce que l’on veut sécuriser, contre quel type de menace, avec quels moyens et en invitant des gens qui ne sont pas du sérail cybersécurité ».
Il faut rendre la sécurité numérique sexy
Guillaume Poupard, Directeur général de l’ANSSI
Cyber-user-friendly : une touche de sexy dans les solutions de cybersécurité
La culture cyber et l’UX ne font qu’un. Une culture cyber qui fonctionne bien, c’est une culture qui prévoit l’adoption de solutions de sécurité par les collaborateurs, en fonction de leur sensibilité. Les éditeurs doivent tenir compte de cet impératif dans la conception de leurs produits et les développer en adoptant une approche métier plutôt qu’une approche technique. La technique est un moyen, mais ce qui doit être placé au cœur de l’UX, c’est bien la compréhension du quotidien des utilisateurs. Alors, comment rendre ces produits plus user-cyber-friendly ? La communauté cyber et les éditeurs s’activent en ce sens, et de multiples initiatives sont déjà en place.
Les sessions d’UX design ont fait leur apparition, et permettent aux éditeurs de challenger leurs solutions auprès de partenaires et de clients. L’objectif qui se cache derrière cette démarche est de pouvoir réorienter ou affiner un produit durant sa conception, ou faire évoluer un produit déjà existant, pour garantir une prise en main efficace et intuitive. Ces sessions sont là pour développer une IHM au plus proche de l’activité et des besoins des utilisateurs. « Avant de développer des interfaces graphiques sur notre solution Stormshield Data Security, on développe des mockups que l’on fait tester à un panel d’utilisateurs, précise Jocelyn Krystlik, Business Unit Data Security Manager chez Stormshield. L’idée est de mélanger des personnes qui sont clientes de produits de cybersécurité, et d’autres qui ne le sont pas, pour challenger les éditeurs ».
L’UX testing est aussi largement utilisé. Ce procédé vise à confronter un utilisateur à une solution en temps réel, et d’analyser sa réaction face au produit. Cela permet de déterminer si la solution est intuitive ou non, et de l’ajuster au besoin. Certains éditeurs mettent aussi à disposition des plateformes collaboratives sur lesquelles leurs clients sont incités à tester des produits et à partager leurs retours et leurs appréciations. Pour Virginie Ragons, UX/UI Designer chez Stormshield, « les solutions de sécurité se trouvent en général au sein d’écosystèmes complexes, et l’objectif est de fournir aux utilisateurs des usages interactifs harmonisés et une interface intuitive afin de faciliter la réalisation de son objectif initial ».
L’objectif est de fournir aux utilisateurs des usages interactifs harmonisés et une interface intuitive afin de faciliter la réalisation de son objectif initial
Virginie Ragons, UX/UI Designer Stormshield
Un autre enjeu clé pour les éditeurs à l’heure de l’UX : optimiser la pré configuration de leurs solutions. L’objectif ? Ne plus surcharger les interfaces avec des options qui ne serviront pas, et distinguer en amont ce qui va être le plus utilisé, et le mettre en avant dans la solution. Cette étape est clé, car, la façon dont les éditeurs vont designer une interface va orienter le choix des utilisateurs.
L’éditeur Kaspersky avance que plus de 90% des incidents de sécurité seraient dus à une erreur humaine. Suffisant pour nous faire dire que pour une cybersécurité réussie, c’est bien l’utilisateur qui doit avoir le dernier mot sur l’UX des produits de sécurité. Un utilisateur qui semble aussi avoir le dernier mot sur les tendances, avec des habitudes d’utilisation qui changent et donc un design qui doit évoluer en conséquence, comme l’indique Sébastien Viou : « Il y a 20 ans, tout était en ligne de commande. Puis les solutions de sécurité ont pris la forme de clients lourds, et désormais la tendance est au client léger, avec des interfaces esthétiques. L’UX suit l’évolution globale du web ».
Cybersécurité et UX : les grandes tendances
Se diriger vers des clients légers, voire des postes qui n’ont plus du tout d’agent, permet notamment de s’adapter aux nouveaux usages comme le nomadisme ou la démocratisation du télétravail. « Chez Stormshield, on a appliqué ce concept du sans-agent avec notre solution de chiffrement de la donnée, qui s’utilise désormais directement dans le navigateur. On parle alors d’Agentless Encryption dans notre produit Stormshield Data Security, spécifie Jocelyn Krystlik. Puisque le chiffrement de la donnée est un enjeu important qui peut s’adresser à une population variée au sein d’une entreprise, il est impératif d’avoir les bons outils pour accompagner ces populations et de leur apprendre à les manipuler. »
Responsabiliser les collaborateurs fait aussi partie des grandes tendances de l’UX. L’utilisateur final va être de plus en plus mis à contribution pour apporter de la sécurité au sein de son organisation. La notion de cybersécurité tend à s’étendre à l’ensemble des métiers, et non plus uniquement aux populations techniques. Chaque utilisateur doit pouvoir jouer un rôle. Là encore l’UX devient un incontournable de l’hygiène numérique : il est nécessaire d’avoir les bons outils pour accompagner cette tendance. Pour les administrateurs par exemple, l’UX doit leur donner des moyens efficaces et traçables de collecter des informations et de les remonter. L’utilisateur final, lui, doit être en capacité de transmettre des informations, notamment vers les administrateurs. Voire bénéficier d’une part plus grande dans les décisions liées à la sécurité, qui ne seraient plus le pré carré des populations techniques.
L’UX présente donc de nombreuses qualités, et a tout intérêt à être intégrée dans les stratégies de cybersécurité et de transformation numérique des entreprises. D’ailleurs, les entreprises de cybersécurité sont de plus en plus nombreuses à communiquer sur l’UX et son rôle clé dans leurs produits. Comme la société Hypori, qui a donné un second souffle à sa solution de sécurité pour les devices mobiles grâce à l’UX. Ou encore la société Callsign, qui a développé une solution d’authentification entièrement pensée par et pour les utilisateurs.
Des interfaces au design simplifié et intuitif, peu de manipulations pour les utilisateurs, des architectures plus adaptées… L’UX ? Assurément une tendance cyber à suivre.