Le design, maillon manquant de la sécurité numérique
Le design et la sécurité sont aujourd’hui encore trop rarement associés. Et c’est un tort ! En effet, la sécurité ne saurait être abordée sous son seul angle technique, tant elle est étroitement liée au comportement humain.
Le phishing, cette technique d’usurpation d’identité destinée à subtiliser des données personnelles, s’appuie sur des failles avant tout humaines. 73 % des entreprises françaises en auraient ainsi été victimes l’an dernier, pointant du doigt le manque d’information et de formation quant aux risques en matière de sécurité. Par sa capacité à modéliser les comportements et à améliorer la facilité d’usage, le design s’impose comme un puissant vecteur de sécurité numérique. Il encourage ainsi les utilisateurs à en appliquer les bonnes pratiques.
Avec le code source, le design de l’interface est l’un des éléments les plus observables de la qualité logicielle. Pourtant, trop souvent réduit à l’expérience ou à l’esthétique, il intègre un grand nombre de facteurs – comportement humain, accessibilité, éco-conception web… – qui illustrent la recherche constante de performance, de fiabilité, de facilité d’usage et de limitation des impacts. En ce sens, le design constitue un maillon essentiel de la sécurité numérique et un facteur de confiance majeur.
Modéliser les comportements
Depuis le début des années 2000, la place du design dans la sécurité numérique a été essentiellement balisée par une approche orientée vers les facteurs humains (en premier lieu, la facilité d’usage), l’émergence d’heuristiques (au sens de règles), les schémas de conception (design patterns) et l’identification de scénarios d’usage. Cette approche "user centric" permet d’améliorer l’adéquation entre les exigences de sécurité et la prise en main des interfaces. En appliquant cette approche, on obtient des interfaces plus "robustes", dépourvues d’ambiguïtés, qui favorisent un comportement approprié en termes de sécurité.
Rendre visible la sécurité
Or beaucoup pensent encore que la sécurité doit rester "invisible" aux yeux des utilisateurs. Au contraire, pour être efficaces, les actions de sécurité doivent être pensées dans un parcours qui les rend plus évidentes, à l’image de la mécanique d’authentification qui fait partie intégrante de toute expérience utilisateur. Si le paramétrage de l’authentification à plusieurs facteurs est présenté de manière explicite et claire dès la première connexion – sans avoir à se rendre dans les options de l’interface –, les utilisateurs seront d’autant plus attentifs tout au long de leur parcours et plus à même d’adopter un comportement sécurisé. Aux designers alors de penser des parcours pertinents et sans ambiguïté – dont se nourrissent souvent les failles de sécurité. Le design doit ainsi rendre visibles les repères et les codes qui matérialisent la sécurité.
Améliorer la communication au sein des interfaces
Pour autant, l’utilisateur n’a pas nécessairement vocation à avoir connaissance de tout. La transparence et la confiance constituent le socle de la sécurité. Pour guider le comportement du consommateur face à une faille potentielle de sécurité, certaines règles s’imposent : limiter le nombre d’informations demandées, bâtir des parcours cohérents et identifiés comme sécurisés – demander si l’utilisateur souhaite exécuter tel plugin ou application –, éviter le sentiment d’urgence (souvent utilisé par les hackers), expliciter les messages d’alerte… Le design doit savoir adapter le niveau d’information disponible.
Au-delà de la dimension purement utilitaire de l’interface, la sécurité résulte également de choix formels et de la façon dont les interactions sont "chorégraphiées". Là aussi, le design de l’interface a son importance, en agissant sur la perception, la compréhension et la confiance. Par conséquent, la sécurité reste étroitement associée à des représentations et à des conventions porteuses de sens qui relèvent du langage d’interface.
Renforcer l’efficience des mécanismes en facilitant leur appréhension par les utilisateurs
Le design n’offre pas pour autant une garantie absolue et n’apporte pas un niveau de sécurité mesurable. Son premier rôle consiste à bâtir la confiance grâce à la mise en évidence d’un chemin simple et sécurisé, plus apte à encourager les bons comportements. Néanmoins, pour favoriser un haut niveau de qualité globale, la démarche UX doit nécessairement être adaptée au contexte de l’entreprise. Pour y parvenir, elle doit donc surtout s’appuyer sur le prototypage et sur le dialogue avec les utilisateurs, les tests et le suivi de la qualité d’implémentation.
Dès lors, en dépassant les enjeux techniques et méthodologiques de la sécurité, le design révèle tout son potentiel et sa véritable valeur ajoutée : permettre d’adresser l’usage, la perception et la sensibilité des usagers, précisément là où se situent les failles potentielles. À la clé : la capacité à développer un langage d’interface plus cohérent, plus solide et plus transparent, synonyme de différenciation. Pourquoi ? Parce que la sécurité est devenue un critère plus important que le prix. En effet, 77 % des consommateurs considèrent la cybersécurité comme leur 3e critère de choix et 40 % seraient prêts à augmenter leurs dépenses en ligne auprès des distributeurs qui ont su gagner leur confiance. Parce qu’il est susceptible de parler à tous, le design représente LE support de cette culture de la sécurité, en interne comme en externe ! En ce sens, il s’avère indissociable de la sécurité numérique.