Renforcer la cybersécurité sans impacter l’expérience client

Il peut être tentant de tout faire pour faciliter les transactions, mais cela peut augmenter les risques pour les deux parties. À l’inverse, des mesures de sécurité trop strictes épuisent rapidement la patience des utilisateurs et peuvent les pousser à rechercher une expérience plus fluide chez la concurrence. Le défi pour les entreprises est donc de garantir un haut niveau de cybersécurité sans compromettre le parcours client.

Cependant, la fréquence et la sophistication croissantes des cyberattaques ne favorise pas cet exercice. La poursuite de l’équilibre entre sécurité et convivialité n’est pas réalisée de façon identique selon les entreprises et selon les cas de figure. Mais certains principes clés peuvent les guider dans l’amélioration des systèmes de protection sans toutefois nuire à la satisfaction des clients.

Des mesures de sécurité adaptées et équilibrées

De façon plutôt cohérente, un client peut avoir des attentes très précises en matière de sécurité. Si aucune mesure de protection n’est visible, par exemple, il fera généralement demi-tour. Cela est particulièrement le cas pour certains secteurs comme la finance et la santé, qui demandent aux utilisateurs de communiquer des informations sensibles relatives à leur argent ou très personnelles.

Mais il existe aussi des entreprises qui poussent trop loin leurs mesures de vérification. Que se passerait-il si une banque imposait systématiquement une série de questions de sécurité, quelle que soit l’opération, que ce soit pour retirer une somme importante ou simplement consulter son solde ? Un tel système serait probablement perçu comme trop contraignant et inciterait les clients à se tourner vers une banque plus « simple », pour peu qu’elle offre des garanties suffisantes de sécurité.

Une sécurité axée sur la clientèle

Toute mesure de sécurité doit être évaluée du point de vue des clients. Envisageons par exemple l’application d’une politique empêchant les utilisateurs de copier-coller leur mot de passe quand ils se connectent à leur portail Web. Certes, une telle mesure pourrait bloquer certains types de cyberattaques. Mais elle découragerait les clients utilisant une application de gestion des mots de passe et pourrait ainsi inciter à créer des mots de passe plus faciles à mémoriser. Ceux-ci étant alors plus vulnérables en cas d’attaque par force brute, une telle politique aboutirait donc à une diminution de la sécurité du point de vue des utilisateurs.

Généralement, avant d’implémenter une mesure de sécurité, il faut nécessairement examiner le processus commercial à sécuriser et s’interroger sur la manière dont il sera affecté par ce changement. Serait-il judicieux de demander une authentification multi-facteurs (MFA) chaque fois qu’un client souhaite accéder à une boutique en ligne ? Cette mise en place offre certes un niveau de sécurité supplémentaire pour les données associées aux cartes de crédit et aux informations personnelles des comptes. Cependant, certains clients risquent de perdre patience s’ils doivent fournir systématiquement un deuxième facteur d’authentification une fois leurs informations d’identification saisies. Un bon compromis peut alors être de n’exiger la MFA que dans des situations présentant un certain niveau de risque, notamment lorsqu’un client utilise un nouvel appareil ou souhaite effectuer un retrait conséquent.

La nécessité d’une transparence sur le rôle des systèmes de sécurité

Afin que certains processus contraignants soient acceptés par les équipes, il est essentiel pour l’entreprise de sensibiliser aux menaces de sécurité et d’expliquer le fonctionnement des systèmes de protection. En effet, selon notre rapport, la formation aux enjeux de sécurité est l’une des trois principales priorités informatiques des entreprises.

De plus, il est important de fournir les mêmes informations à tous les clients. En effet, les mesures de sécurité incomprises sont souvent jugées pénibles et inutiles. En communiquant clairement l’objectif et l’intérêt de ces contrôles, la clientèle appréciera nettement l’effort d’une protection supplémentaire. Par exemple, s’il est exigé des titulaires de cartes qu’ils confirment leur identité pour tout achat d’un montant inhabituellement élevé, il faudra leur expliquer le fonctionnement et la nécessité de ce mécanisme. Si une entreprise exige une authentification multi-facteurs lorsqu’un utilisateur tente de se connecter à partir d’un nouveau lieu géographique, ajouter une courte note dans la procédure MFA sera utile afin d’expliquer que ce type d’activité inhabituelle peut être le signe d’une compromission du compte.

Ainsi, en matière d’interactions avec les clients, les entreprises doivent mettre en place des garde-fous pour réduire les risques de sécurité et inspirer confiance, tout en continuant de proposer une expérience d’utilisation fluide et conviviale. Les clients souhaitant un certain niveau de sécurité, les entreprises se doivent de toujours s’appuyer sur leur perspective lorsqu’elles imposent de nouvelles mesures de protection. Il est également impératif d’expliquer à ces derniers le rôle des systèmes de contrôle mis en place. Le respect de ces principes sera le gage d’une relation de qualité sous le signe de la confiance et de la sécurité.