La dualité sécurité/utilisabilité

« Entre deux maux, il faut choisir le moindre. »
Sauf qu’en sécurité, on a souvent réussi un exploit : inventer le pire des deux mondes.

D’un côté, tu as les fouilles au corps à l’aéroport où tu te sens à moitié criminel juste pour prendre un avion.
De l’autre, le feu rouge interminable à 3h du matin : personne à l’horizon, tout le monde finit par griller “prudemment”.

Même combat à chaque fois :
quand la sécurité est trop chiante, les gens contournent ou changent carrément de produit.
Et c’est là que la sécurité se casse vraiment la gueule.

1. Mauvaise sécurité = mauvais produit

On connaît tous ces produits “ultra sécurisés” façon bunker :

– 4 étapes d’authentification
– Captchas illisibles
– Mots de passe avec 12 règles débiles
– Pop-ups de confirmation toutes les 3 minutes

Résultat :

– adoption qui plafonne,
– utilisateurs qui insultent l’écran,
– support noyé,
– réputation produit cramée.

Les boîtes qui prennent le sujet au sérieux l’ont compris : si ta sécurité rajoute de la friction visible au lieu d’être intégrée dans le parcours, les utilisateurs décrochent et vont voir ailleurs.

Et ce n’est pas que de l’intuition.
Une étude de la FIDO Alliance montre par exemple que près de 60 % des utilisateurs abandonnent un service en ligne au moins une fois à cause d’un mot de passe oublié ou trop compliqué.[1]
Tu rajoutes des contraintes tordues ? Tu creuses ta propre tombe produit.

Ce n’est pas un “détail UX”.
C’est un problème business.

2. Mauvaise UX = sécurité contournée (et donc pire sécurité)

Quand la sécurité devient punitive, les gens ne deviennent pas plus vertueux.
Ils se débrouillent. En douce.

Dans les entreprises, un grand classique : les rogue routers.

Politiques réseau trop rigides, trop lentes, trop bloquantes ?

– quelqu’un installe son propre routeur Wi-Fi sous le bureau “pour aller plus vite”,
– “juste pour une démo client”,
– “parce que le VPN rame”.

Sur le papier :

– firewall centralisé,
– filtrage strict,
– segmentation nickel.

Dans la vraie vie :

– un Wi-Fi parallèle, non surveillé, non patché,
– des accès non contrôlés,
– un magnifique point d’entrée pour attaquants.

Les chiffres côté terrain ne sont pas rassurants : plusieurs enquêtes de Cisco et Zscaler montrent que plus de la moitié des collaborateurs reconnaissent utiliser régulièrement des outils ou services non approuvés pour “aller plus vite”.[2][3]
Traduction : dès que la voie officielle est trop pourrie, ils creusent un tunnel à côté.

Plus de contrôle théorique → plus de contournement → plus de risque réel.

Les gens ne se rebellent pas contre la sécurité.
Ils se rebellent contre la mauvaise sécurité.

3. Le faux dilemme “plus de sécurité = pire expérience”

On nous sert depuis des années la même pièce de théâtre :

– les équipes sécu qui veulent “serrer la vis”,
– les équipes produit / métier qui veulent éviter la friction,
– l’utilisateur coincé au milieu.

Sauf que les produits que les gens adorent racontent une autre histoire.

– Smartphones : Face ID / empreinte digitale sont à la fois plus simples et plus sûrs que taper un mot de passe à rallonge sur un écran en verre. Apple expliquait dès le lancement de Face ID viser moins d’une chance sur un million qu’une autre personne puisse déverrouiller ton téléphone.[4] Plus sécurisé, plus fluide, adopté en masse. 
– App stores : analyses de malware, signatures de code, contrôle des permissions… tout tourne en arrière-plan. L’utilisateur a l’impression de “cliquer sur installer”, pendant qu’une usine de sécurité tourne derrière sans se faire remarquer.
– Portefeuilles de paiement digitaux : tap-to-pay + tokenisation + sécurité au niveau de l’appareil. Les réseaux de cartes indiquent que les paiements tokenisés présentent en moyenne des taux de fraude inférieurs aux paiements par carte physique. Plus rapide à la caisse, moins de casse côté fraude.

Dans ces cas-là, la sécurité n’est pas un barrage rajouté à la fin.
Elle est intégrée à la mécanique même de l’expérience.

Les acteurs qui gagnent ne choisissent pas entre sécurité ou confort.
Ils dessinent des parcours où le chemin sécurisé est aussi le plus simple.

 4. 3 principes pour avoir sécurité et confort (sans magie noire)

 1) Rendre la sécurité invisible quand c’est possible

– Utiliser de l’authentification adaptative / basée sur le risque pour éviter de harceler tout le monde en permanence, et ne durcir les contrôles que quand ça compte vraiment.
– Automatiser au maximum mises à jour, scans, vérifications en arrière-plan.

Objectif : interrompre peu, mais au bon moment.
Quand c’est bien fait, tu récupères moins de tickets support et plus de respect des règles.

2) Faire du chemin sûr le chemin de moindre résistance

– Concevoir les workflows pour que le chemin le plus rapide soit aussi le plus sécurisé (ex. partage sécurisé en 1 clic plutôt que l’upload sauvage sur un outil perso).
– Proposer des défauts forts mais simples : SSO, gestionnaire de mots de passe, biométrie.
– Couper les alternatives risquées quand une option sécurisée existe.

Si l’utilisateur doit se fatiguer plus pour rester dans les clous, c’est que ton design est à l’envers.

3) Mesurer le comportement, pas seulement les contrôles

– Suivre les contournements : outils non approuvés, Wi-Fi sauvages, alertes ignorées.
– Mesurer le temps et le taux de réussite des parcours critiques avant / après changement.
– Intégrer l’UX sécurité dans les KPIs produit et sécurité, pas juste dans un rapport conformité.

Compter les règles, les politiques et les cases cochées, ça rassure sur PowerPoint.
Regarder ce que les gens font vraiment, ça protège dans la vraie vie.

5. Ce que les leaders devraient faire dans les 90 prochains jours

Pour les dirigeant·e·s produit, sécurité, IT qui veulent sortir du faux dilemme “sécurité vs confort” :

1. Passer au crible quelques parcours critiques (login, onboarding, paiements, accès interne) pour repérer la friction, les abandons et les contournements.
2. Mettre sécurité, UX et produit dans la même pièce pour redessiner ces parcours à partir du comportement réel, pas d’un modèle théorique.
3. Lancer 1–2 expérimentations ciblées : auth adaptative, simplification des approbations, réduction des prompts inutiles, SSO là où ça coince.
4. Mettre l’UX sécurité dans la roadmap produit, pas dans une annexe “compliance” oubliée.

Si chez toi on débat encore sécurité ou commodité, ce n’est pas un noble arbitrage.
C’est juste un défaut de conception.

Les leaders qui vont gagner la prochaine décennie sont ceux qui conçoivent des expériences où les utilisateurs se sentent protégés et puissants… sans même avoir besoin d’y penser.

Vous voulez transformer la sécurité en avantage compétitif, sans sacrifier l’expérience utilisateur ?

Bold & Curious accompagne les équipes produit, sécurité et IT pour concevoir des parcours sécurisés ET fluides, adaptés à vos enjeux.

Contactez-nous pour échanger sur vos défis ou lancer un audit de vos parcours critiques : j.delsuc@boldandcurious.com.