Comment mettre l'expérience utilisateur au cœur de la sécurisation de vos SI ?

Avec la montée en puissance des attaques et menaces, la mise en place de sécurité au sein des Systèmes d'Information des organisations est l'une des préoccupations majeures - voire une priorité.

Avec la montée en puissance des attaques et des menaces, la mise en place de sécurité au sein des Systèmes d'Information (SI) des organisations est l’une des préoccupations majeures - voire une priorité pour toutes les structures, qu’il s’agisse de petites, moyennes ou grandes entreprises. Pour autant, l’une des composantes primordiales, mais souvent oubliée, de la sécurité des données reste l’expérience de l’utilisateur et son adhésion à la politique de sécurisation mise en place. Cette adhésion, sans exagération, peut faire la différence entre une sécurité efficace - dans la vraie vie ou sur le papier - et une vulnérabilité avérée.

L'expérience utilisateur : un maillon essentiel de la sécurité

Il est inutile de rappeler pourquoi il est important pour les entreprises de protéger leurs données et leur SI, surtout à la lumière des récentes cyberattaques qui, depuis de nombreuses années maintenant, ont fait le tour du monde. Toutefois, malgré les nombreuses mesures mises en place au sein des organisations, le facteur humain est souvent négligé… bien qu'il soit au cœur du système.

En effet, dans de nombreux cas, le facteur humain est l’un des risques les plus importants pour la sécurité de l’entreprise. Que ce soit le phishing, le social engineering ou bien d'autres techniques d'ingénierie sociale, toutes ciblent les utilisateurs afin d’exploiter leur négligence. Ainsi, l'être humain représente l’une des principales vulnérabilités dans la sécurité d’un SI.

Et rien n'est plus frustrant pour un administrateur que de constater qu’un utilisateur ne respecte pas les règles de sécurité déployées, et cherche à s’en soustraire. Cela pouvant compromettre l’entièreté du système de sécurité mis en place.

C’est pourquoi, l’expérience utilisateur doit être vue, aujourd’hui, comme extrêmement importante dans le processus de sécurisation des SI. Pour garantir une sécurité efficace, il est essentiel que les utilisateurs comprennent, acceptent, et suivent les politiques de sécurité de l'entreprise. Et cela nécessite une implication de l’utilisateur et de son expérience dans la réflexion même dressée lors de la création du plan de sécurisation du SI.

Comment (ré)concilier sécurité et expérience utilisateur ?

Pour que les politiques de sécurité soient adoptées par la majorité des utilisateurs, il est impératif de les rendre accessibles et compréhensibles. Les utilisateurs ne doivent pas percevoir ces politiques comme une contrainte, mais comme une contribution à la protection de l'entreprise et de leurs propres données.

Il existe plusieurs manières de (ré)concilier « sécurité » et « expérience utilisateur » :

  1. Classification de la donnée : Si la classification est à faire manuellement par les utilisateurs, il est nécessaire qu'elle ne soit pas trop complexe. Plus elle est simple et intuitive, moins il y aura de risques que la donnée soit mal classifiée. De plus, des règles trop complexes peuvent également inciter les utilisateurs à classifier la donnée avec un niveau par défaut ou ayant moins de contraintes.
  2. Sensibilisation et formation : La sensibilisation des utilisateurs est cruciale. Les sessions de formation doivent être courtes, ludiques et informatives. L'objectif n'est pas d'assommer l'utilisateur avec des dizaines de pages de documentation, mais de lui fournir des informations claires et pratiques sur les menaces, et les bonnes pratiques, en matière de sécurité. Il vaut mieux opter pour des petites sessions avec une récurrence rapprochée, plutôt que des sessions à n’en plus finir une fois par an.
  3. Authentification multifacteur (MFA) : L'utilisation du MFA est un moyen efficace d'ajouter une couche de sécurité, sans trop d’impact pour l’utilisateur. Néanmoins, on s’assura dans le procédé d’exploiter des applications de MFA ergonomiques, et offrant des options d'authentification appréciées par les utilisateurs - telles que l'empreinte digitale ou la reconnaissance faciale.
  4. Lutte contre le phishing : Le phishing est l’une des principales attaques ciblant les utilisateurs. Mettre en place des solutions permettant aux utilisateurs de déclarer les potentiels mails de phishing permet de les inclure dans la stratégie de sécurisation du SI. Ainsi, lors de l’intégration de ce type d’outils, une attention particulière devra être mise afin d’opter pour une solution simple à utiliser, et à intégrer de manière transparente dans l'environnement de travail des utilisateurs. Organiser une formation sur la reconnaissance des attaques de phishing est également chose essentielle pour renforcer la sécurité du parc informatique.
  5. Politique de mots de passe : Une politique de mots de passe doit être équilibrée. Elle doit être assez robuste pour résister aux attaques, mais aussi suffisamment flexible pour que les utilisateurs puissent les gérer facilement. Suivre les recommandations de l'ANSSI peut être un bon point de départ pour établir une bonne politique de mots de passe.

L'expérience utilisateur est un maillon essentiel de la sécurité des Systèmes d'Information. En rendant les politiques de sécurité accessibles et compréhensibles, les entreprises peuvent renforcer leur protection, tout en favorisant l'adhésion des utilisateurs. La sécurité ne doit pas être un frein à la productivité, mais un moyen de la soutenir - de manière transparente et efficace.