Safe by Design : un aperçu de la sécurité UX

Publié: 2022-03-11

C'est l'heure d'aller au lit, mais d'abord, quelques tâches routinières :

  • Mettez un pyjama.
  • Brosser les dents.
  • Ouvre les fenêtres.
  • Déverrouiller les portes.
  • Placez votre portefeuille, vos documents personnels et vos informations bancaires dans une pile pratique sur le comptoir de la cuisine.

Beaux rêves.

Si ce scénario est troublant, considérez la fréquence à laquelle les mêmes informations sensibles sont saisies dans nos appareils numériques. Sans les protocoles de sécurité appropriés en place, nos actifs et nos identités sont des proies faciles. Pire encore, en tant que concepteurs d'interfaces numériques, le mépris de la sécurité expose les utilisateurs à des risques financiers, professionnels, relationnels et émotionnels.

La sécurité n'est pas une tendance ou une tactique promotionnelle, c'est un aspect crucial de l'expérience utilisateur et de la conception de l'interface.

Sécurité UX
Lorsque les produits numériques ne sont pas correctement sécurisés, tous les caractères erronés accèdent aux informations des utilisateurs. (Fardeau d'Aaron)

L'interface idéale est simple à utiliser et protégée contre les tentatives de vol des informations privées des utilisateurs. La livraison d'une telle conception est généralement présentée comme un compromis entre convivialité et sécurité :

  • Si l'interface est simple d'utilisation, elle est moins sécurisée.
  • S'il est sécurisé, il est plus difficile à utiliser.

Ce compromis est un mythe. Nous pouvons concevoir des interfaces simples et sécurisées sans compromettre la qualité de l'une ou l'autre. Ici, les concepteurs UX jouent un rôle essentiel en s'assurant que les exigences techniques et les besoins des utilisateurs sont satisfaits.

À bien des égards, les designers UX sont des interprètes. Ils décryptent les exigences techniques et les rendent compréhensibles pour les utilisateurs. Ils exercent également une conscience de la situation en décidant quand se concentrer sur la simplicité ou quand impliquer des mesures de sécurité sophistiquées. L'équilibre est essentiel, mais il ne peut être atteint qu'en incluant toutes les parties prenantes dès les premières étapes de la conception.

Impliquez tôt les parties prenantes dans la sécurité UX

Plusieurs parties doivent être consultées pour concevoir un produit numérique sécurisé et efficace. Par exemple, les équipes de conception doivent s'assurer que leurs produits sont conformes aux réglementations en vigueur telles que HIPAA pour le secteur de la santé et PCI DSS pour les services bancaires et financiers. De plus, les fonctionnalités de sécurité mises en œuvre par les équipes de conception doivent répondre aux normes établies par les équipes techniques derrière les produits numériques.

Conception pour la sécurité
Les concepteurs doivent être conscients des diverses réglementations de sécurité qui s'appliquent aux produits numériques sur lesquels ils travaillent.

En matière de sécurité, il n'est pas rare que les entrées de l'utilisateur soient ignorées. Mais pour répondre véritablement aux besoins de sécurité des utilisateurs, les concepteurs doivent comprendre leurs motivations, leurs comportements et leurs attentes. Souvent, les utilisateurs en savent très peu sur la sécurité numérique. Les concepteurs doivent donc apprendre à anticiper les niveaux de risque auxquels les utilisateurs seront confrontés lorsqu'ils navigueront dans divers écrans et fonctionnalités. Plus les risques peuvent être identifiés tôt dans le processus de conception, mieux c'est.

Ignorer les parties prenantes ou intégrer leur contribution tardivement dans le processus de conception double le risque. Cela peut ouvrir des failles de sécurité dans des produits qui auraient autrement pu être évités, ou cela peut conduire à des produits si sûrs qu'ils sont à peine utilisables.

Méthodes de conception pour la sécurité des produits

Chiffrement

Le cryptage est une méthode de conversion d'informations sensibles en un code qui semble être aléatoire. Il s'agit d'une considération de conception importante dans les produits numériques dotés de fonctions de communication. Dans les applications où les appels, les textes, les vidéos, les images et les documents sont fréquemment échangés (pensez à WhatsApp), le chiffrement de bout en bout garantit que seuls les utilisateurs impliqués dans une conversation peuvent voir les données échangées.

Cela signifie que personne, ni l'entreprise derrière une application, ni les criminels de données, ni même le gouvernement, ne peut voir le contenu des messages. Lorsque les utilisateurs savent que leurs informations sont protégées par de telles mesures, ils sont beaucoup plus disposés à accorder leur confiance.

Authentification

Il est essentiel de vérifier que seul le propriétaire d'un compte peut se connecter et que tous les intrus sont bloqués. L'authentification est le moyen le plus efficace de protéger les produits numériques contre tout accès non autorisé. Les fonctionnalités telles que les noms d'utilisateur et les exigences de mot de passe doivent être identifiées et testées au début du processus de conception.

Pour plus de sécurité, une authentification à deux facteurs (2FA) peut être ajoutée. Avec 2FA, un nom d'utilisateur et un mot de passe sont saisis, et un code de connexion est envoyé à un téléphone portable ou à une adresse e-mail.

Expérience utilisateur de sécurité
Pour recevoir un code d'accès, le processus 2FA d'Intuit permet aux utilisateurs de choisir entre plusieurs options de livraison.

La confidentialité des données

En fin de compte, la confidentialité des données est une considération éthique pour les concepteurs et les entreprises. Lorsque les utilisateurs échangent leurs données personnelles contre l'accès à un produit numérique, ils choisissent de croire que l'entreprise qui supervise le produit traitera leurs informations avec intégrité. Ils sont également convaincus que les fonctionnalités mises en œuvre par les concepteurs et les développeurs sont capables de résister aux attaques de données.

Améliorer la confidentialité des utilisateurs et la confidentialité des données

Cela vaut la peine de le répéter, les produits numériques sont faits pour les utilisateurs, et non l'inverse. Les interactions des utilisateurs avec les produits ne doivent jamais comporter le risque que leurs données soient divulguées ou volées. Malheureusement, ce n'est pas toujours le cas.

La plupart des cybercrimes sont commis dans le but d'obtenir les données personnelles des utilisateurs, mais les concepteurs UX peuvent aider. Comment? En mettant en œuvre des fonctionnalités qui encouragent les utilisateurs à choisir des mots de passe plus forts et à éviter de placer en ligne des informations personnelles excessives.

Par exemple, l'interface d'authentification d'un produit peut utiliser un message convivial pour informer les utilisateurs de l'importance d'avoir des mots de passe plus forts. Au lieu de forcer les utilisateurs à créer un mot de passe avec 12 caractères, des lettres minuscules et majuscules, un chiffre et un symbole, le message pourrait simplement dire : « Vous avez besoin d'un mot de passe plus fort. Voici pourquoi c'est important. De cette façon, les utilisateurs comprennent mieux la nécessité de sécuriser leurs données et leur confidentialité.

Supprimer les obstacles de sécurité inutiles

Si la sécurité des produits dépend de l'intégration de toutes les parties prenantes, les concepteurs doivent prendre le temps de consulter les développeurs et les professionnels de la cybersécurité. Les développeurs ont généralement des contraintes qui affectent la conception, et ils peuvent être en mesure d'offrir des informations sur l'efficacité des fonctionnalités de sécurité UX mises en œuvre par les concepteurs. Les professionnels de la cybersécurité peuvent éduquer les concepteurs sur les stratégies de sécurité, les outils et les réglementations de conformité les plus récents.

Attention : consulter des experts en sécurité, c'est bien, mais exagérer les mesures de sécurité rend les produits numériques encombrants et incite les utilisateurs à chercher ailleurs. Des messages vagues tels que "Votre connexion Internet n'est pas sécurisée" conduisent les utilisateurs à contourner les fonctions de sécurité destinées à leur protection.

En fin de compte, cela se reflète mal sur les entreprises lorsque des utilisateurs légitimes ne peuvent pas accomplir de tâches ou se retrouvent bloqués sur leurs comptes en raison d'une sécurité numérique trop compliquée.

Conception UX de sécurité
Il est possible d'exagérer les fonctionnalités de sécurité numérique et de frustrer les utilisateurs. (Kelly Sikkema)

Sécurisé contre l'ingénierie sociale

De toutes les attaques de sécurité numérique qui ont lieu, un stratagème est considérablement plus courant que tout autre. Il représente près de 90 % des violations dans le monde et repose davantage sur l'art de la tromperie que sur des capacités techniques sophistiquées. Quelle est cette tactique néfaste ?

Hameçonnage.

Comme les escrocs d'autrefois, le phishing (qui se produit le plus souvent dans les e-mails) s'appuie fortement sur des stratégies d'ingénierie sociale pour effrayer, faire pression et confondre les utilisateurs afin qu'ils transmettent des informations sensibles et de l'argent durement gagné. Pour se protéger contre les attaques de phishing, les concepteurs peuvent créer des forums de sécurité qui permettent aux utilisateurs de signaler des spams et de publier des avertissements à d'autres utilisateurs. Ils peuvent également utiliser des fenêtres contextuelles ou des messages dans leurs applications pour alerter les utilisateurs des tentatives de phishing connues.

Conception de la sécurité des applications
L'hameçonnage arme la communication écrite en incitant les gens à partager leurs informations sensibles. (Taskin Ashiq)

Les concepteurs ont aussi besoin de sécurité numérique

Malgré tous les efforts consacrés à la sécurité, une vulnérabilité négligée peut sérieusement compromettre l'intégrité des produits numériques. Cela n'a pas grand-chose à voir avec la technologie, ce sont les concepteurs eux-mêmes.

Pour chaque produit créé, des centaines (voire des milliers) d'artefacts de conception sont générés. Des dizaines de canaux de communication sont utilisés. Des liens vers des documents stratégiques sont envoyés à plusieurs parties. Et les équipes distribuées dépendent de plus en plus des outils de conception basés sur le cloud.

Si les concepteurs ne prennent pas de précautions pour protéger leur travail et leurs communications, les attaquants trouveront des moyens d'infiltrer les points faibles de l'organisation. Cela peut signifier établir des VPN, suivre une formation en cybersécurité et adopter des directives de gestion des actifs et de communication pour éviter les problèmes.

Conception pour la sécurité

Les interfaces sécurisées et utilisables ne se produisent pas par accident. Ils sont le résultat de designers qui prennent le temps d'identifier les points de vulnérabilité des données et d'impliquer les parties prenantes très tôt dans le processus de création. La sécurité n'est pas différente de toute autre fonctionnalité critique : les besoins des utilisateurs finaux ne doivent pas être ignorés.

Lorsque les concepteurs trouvent des moyens utiles de communiquer la valeur de la sécurité et de s'assurer que les fonctions de sécurité fonctionnent efficacement, les utilisateurs récompenseront les entreprises qui supervisent les produits numériques avec leur confiance et leur engagement continu.

• • •

Pour en savoir plus sur le blog Toptal Design :

  • The Higher Ground - Un guide d'éthique du design
  • Age Before Beauty - Un guide de conception d'interface pour les personnes âgées
  • La fin des formulaires Web
  • Le guide ultime de la conception de sites Web de commerce électronique
  • Home Smart IoT Home : Domestiquer l'Internet des Objets