Security by design : pourquoi il faut prendre en compte l'UX

Security by design : pourquoi il faut prendre en compte l’UX

Que ce soit à titre personnel ou professionnel, l’utilisation d’outils et de services numériques est croissante. Cette digitalisation des usages et des méthodes de travail implique de revoir la sécurité des identités et des accès afin de protéger les actifs et informations directement accessibles en ligne.

La combinaison login/mot de passe reste à ce jour l’outil le plus utilisé. Or, au fil du temps, les hackers ont développé des techniques diverses et variées, et de plus en plus efficaces, pour voler ces identifiants et usurper les identités. En réponse, le niveau d’exigence sur la gestion des mots de passe par les utilisateurs s’est significativement accru :

Complexification obligatoire des mots de passe (longueur, casse, caractères utilisés, etc.)
Mot de passe unique pour chaque service utilisé
Déconnexion automatique des comptes/profils, obligeant à une reconnexion régulière avec les contraintes ci-dessus

Pour renforcer la sécurité du modèle de sécurité basé sur le mot de passe, l’UX a été dégradée et l’idée s’est installée que plus de sécurité = plus de complexité.

Pourquoi le comportement humain est la principale faiblesse des dispositifs de sécurité

Avec toutes ces exigences et contraintes qui accompagnent la combinaison login/mot de passe, il n’est pas surprenant que le comportement humain soit la principale faiblesse des dispositifs de sécurité.

Les erreurs types ?



Utiliser un mot de passe pas assez sécurisé

Les fameux « 123456 » et « 123456789 » sont respectivement utilisés par 23,6 et 7,7 millions de personnes. Parmi les autres mots de passe du top 5, on retrouve qwerty (3,8 millions), password (3,6 millions) et 111111 (3,1 millions).*



Utiliser le même mot de passe sur plusieurs plateformes / outils

91% des internautes affirment savoir qu’utiliser le même mot de passe sur plusieurs sites présente un risque, mais 66% d’entre eux avouent réutiliser un mot de passe existant pour s’inscrire sur un nouveau site – en hausse de 8% par rapport à la précédente étude.**

Conserver son mot de passe sur un post-it ou dans un fichier texte

3 internautes sur 10 centralisent leurs mots de passe sur papier.***



Communiquer son mot de passe

Il n’est pas rare d’observer des envois de mots de passe par mail ou autre à un collègue ou à un proche.



Ne jamais renouveler de son mot de passe

80 % des personnes interrogées craignent que leur mot de passe soit compromis, mais 48 % ne le changent jamais si le service qu’elles utilisent ne l’exige pas.***



Ne pas changer son mot de passe à la suite d'un piratage

Seulement un tiers environ des utilisateurs changent généralement leur mot de passe après l’annonce d’une violation de données.****

Le modèle de la sécurité par mot de passe, qu’il s’agissait de rendre plus sûr, a, en réalité, été fragilisé par la multiplication des contraintes.

Ce n’est nullement une fatalité.

Il faut, pour aller à l’encontre de cette tendance, intégrer l’expérience utilisateur en tant que telle dans la conception même du dispositif de sécurité.

Combiner sécurité et expérience de connexion fluide

Examinons de plus près ce qu’offrent les solutions du marché en matière d’expérience de connexion. Vous serez surpris de constater que vous n’utilisez probablement pas la solution la plus simple et rapide, ni même la plus sécurisée, sauf si vous êtes client d’une bonne solution d’authentification forte.

Features	Login/mdp	Login/mdp + OTP SMS	Technologie inWebo
Sécurité	☆ ☆ ☆ ☆ ☆	★ ☆ ☆ ☆ ☆	★ ★ ★ ★ ★
Mode offline (se connecter en l’absence de réseau mobile)	✔	✗	✔
Rapidité de l’expérience de connexion (à condition de se souvenir de son mdp)	★ ★ ☆ ☆ ☆	★ ☆ ☆ ☆ ☆	★ ★ ★ ★ ★
Remplacer mdp complexe par un code PIN	✗	✗	✔
Utiliser le même mdp (ou PIN) sur plusieurs sites	✗	✗	✔
Se connecter via un navigateur de confiance (Browser Token)	✗	✗	✔
Connexion sans smartphone	✔	✗	✔
Prise en compte automatique de l’OTP (aucune saisie manuelle nécessaire)	–	✗	✔

La sécurité ne doit pas être synonyme de complexité ! Pour cela, inWebo apporte une expérience utilisateur plus fluide tout en garantissant une sécurité bien plus élevée que toute autre solution.

L’expérience utilisateur au delà de la connexion

Une vision de la sécurité qui englobe l’expérience utilisateur se doit d’intégrer toutes les dimensions de celle-ci et ne pas se limiter à l’expérience de connexion.

Enrôlement

Pour que l’enrôlement soit simple et rapide, inWebo s’appuie sur des tokens software, déployables sans contact en 3 clics sur des dizaines de milliers d’utilisateurs. Avec des tokens aussi bien disponibles sur ordinateur, tablette, smartphone que sur navigateur (exclusivité!), vous n’avez même pas à vous préoccuper de l’équipement de vos utilisateurs. ➜ 99 % de satisfaction et fidélisation clients

Selfcare

Les utilisateurs peuvent gérer de manière autonome leurs équipements de confiance, la récupération de leur méthode d’authentification ou leur enrôlement sur d’autres appareils. ➜ Moins d’appels au help desk et moins de coûts de maintenance

Mobilité, télétravail, BYOD

En travaillant sur des tokens universels, compatibles avec tous les équipements disponibles, inWebo vous permet de sécuriser tous les outils permettant la mise en place des nouvelles formes modernes d’organisation du travail. ➜ Gain de temps et productivité

Intégration et déploiement

Avec des centaines d’intégrations directement disponibles, la compatibilité avec l’ensemble des protocoles du marché et la disponibilité en mode API/SDK, inWebo offre tous les outils nécessaires aux développeurs pour une intégration simple et rapide, sans aucune modification de l’architecture technique existante. ➜ Déploiement immédiat et sans friction

Quand l’expérience utilisateur fait partie de la sécurité

Security by Design = UX by Design

Dans le cadre d’une politique de sécurité crédible, vous devez protéger les identités et les accès de vos utilisateurs sans nuire à leur expérience. L’authentification forte inWebo offre la plus haute sécurité du marché avec une approche de l’expérience utilisateur étendue à toutes les dimensions de l’authentification :

connexion des utilisateurs
enrôlement
réinitialisation
portail admin
intégrations

Profitez de 30 jours d’essai gratuit, sans engagement, ou contactez-nous pour demander une démo

Contact

* Rapport du National Cyber Security Centre (NCSC)

** Etude menée par le gestionnaire de mot de passe LastPass, 2020

*** Baromètre CNIL/Médiamétrie 2018 sur les pratiques numériques et la maîtrise des données personnelles

**** Statistiques publiées par les universitaires de l’Institut de la sécurité et de la vie privée (CyLab) de l’université Carnegie Mellon, 2020

Nos dernières actualités

inWebo rejoint le collectif PlayFrance des acteurs du numérique

Communiqué de presse

Le 22 juin dernier, inWebo a rejoint le collectif PlayFrance Digital. Un soutien pour promouvoir les solutions numériques en France et en Europe et ainsi valoriser nos atouts en matière...

lire plus

DSP2 et authentification forte des clients : conjuguez sécurité et expérience utilisateur simplifiée

Webinar

Avec la DSP2, l’authentification forte du client (SCA) devient obligatoire et le deuxième facteur envoyé par SMS – solution ni pratique ni sécurisée – non conforme. Il faut donc mettre en place une...

lire plus

Industrie, retail, santé : «banalisation du poste de travail et authentification forte objectless»

Webinar

inWebo et Axians Cybersecurity Paris s'associent pour vous proposer un Webinar exclusif, à la découverte de l'authentification forte objectless. De quoi s'agit-il ? Comment ça marche ? Quels...

lire plus