Pour chaque 1 € investi dans votre expérience utilisateur, le retour est en moyenne de 100 €.
Vous avez bien lu : on parle d’un ROI de presque 9 900% 🤯
L’une des meilleures stratégies pour assurer une expérience utilisateur optimale, c’est de réduire les points de friction rencontrés par vos utilisateurs lorsqu’ils naviguent sur votre site. Cela vaut aussi (surtout devrait-on dire) pour les systèmes d’authentification mis en place sur votre plateforme e-commerce.
En effet, l’authentification sans friction (ou Low Friction Authentication) est un élément crucial d’une stratégie UX/UI user-friendly. Pourquoi cela est-il si important ?Eh bien parce que 89% des consommateurs iront immédiatement faire leurs emplettes chez votre concurrent si votre expérience utilisateur ne les satisfait pas. Et en 2023, les critères d’élimination sont plus stricts que jamais.
Cependant, développer une expérience utilisateur adaptée ne vient pas sans son lot de défis. Et d’un point de vue des systèmes d’authentification, la problématique réside dans la sécurité et la fiabilité du système face aux cyberattaques et tentatives de fraude. Que ces attaques soient dirigées vers le consommateur ou directement la marque, le résultat est malheureusement le même : votre réputation en prendra un coup.Et par extension, vos résultats financiers aussi.
Mais alors : comment équilibrer expérience utilisateur et sécurité ?Comment développer des systèmes d’authentification intuitifs, tout en réduisant au maximum la vulnérabilité de votre site ? 🤔
C’est le sujet de notre article d’aujourd’hui ⤵️
TABLE OF CONTENTS
- La cybercriminalité en 2023
- L’authentification sans friction
- Le concept de “friction intelligente”
- 3 astuces pour implémenter une “friction intelligente” efficace
- Comment nous pouvons vous aider
La cybercriminalité en 2023
Depuis que le web s’est démocratisé, la cybercriminalité a toujours fait partie du décor. Mais c’est avec le repli des économies vers l’e-commerce lors de la pandémie que les cyberattaques sont devenues indénombrables. Bien que le procédé le plus fréquent soit les tentatives de phishing, ces cyberattaques prennent souvent l’une des 5 formes suivantes :
1️⃣ Le phishing : sites web frauduleux prenant l’identité de votre marque pour soutirer des informations personnelles de vos clients, telles que les numéros de carte bancaires.
2️⃣ Les bots : logiciels automatisés utilisés pour déployer des attaques de type « credential stuffing » (bourrage de données d’identification).
3️⃣ Les injections SQL : attaques contre les bases de données de votre site dans le but de voler ou de modifier les données personnelles de vos utilisateurs (dont leurs identifiants).
4️⃣ Le script cross-site (XSS) : code malveillant permettant de soutirer les informations personnelles de vos clients via leur navigateur web.
5️⃣ Attaques “Man-in-the-Middle” (MitM) : vol des données lorsqu’elles sont transmises par des connexions WiFi non sécurisées.
Le rapport 2023 sur les mauvais bots d’Imperva révèle que 47,4 % du trafic internet de l’année dernière étaient des bots, dont 30,2 % étaient des systèmes malicieux. Le détournement de compte est également devenu une réelle préoccupation. La dernière étude Sift sur l’index de confiance et de cybersécurité au 3ᵉ trimestre 2023 indique que les vols de compte personnels ont augmenté de 354 % sur le réseau mondial de Sift par rapport à 2022.
L’authentification sans friction
L’intensité et la diversité des cyberattaques a atteint un niveau sans précédent, et la révision des mesures de sécurité employées par votre site a très probablement été un sujet prioritaire lors des derniers mois ou années. L’une des principales préoccupations des e-commercants avec qui nous collaborons, c’est de garantir la fiabilité de leurs méthodes d’authentification.
Et la question que nous entendons le plus souvent est : Comment maintenir la qualité de mon expérience utilisateur lors de l’authentification, tout en m’assurant d’employer les plus hauts standards de sécurité pour garantir l’intégrité de mon site ? 🤔
La réponse tient en trois mots : authentification sans friction (Low Friction Authentication).
L’authentification sans friction fait référence aux méthodes permettant de vérifier l’identité d’un utilisateur avec un minimum d’effort ou de perturbation. Le premier objectif, c’est de rendre le processus d’authentification plus sûr et plus efficace en limitant au maximum les étapes nécessaires à la connexion. Le second, c’est de simplifier le parcours utilisateur, en limitant les points de friction, et donc les potentielles difficultés et frustrations que l’utilisateur pourrait rencontrer lors de sa navigation.
L’une des méthodes d’authentification sans friction les plus répandues est le SSO (ou Single-Sign-On). Souvent utilisée en combinaison avec votre compte Google, Facebook ou Linkedin, ce procédé vous permet d’accéder à plusieurs services avec un seul identifiant. Le principal avantage, c’est que vous n’avez plus besoin de multiplier les comptes, et donc les identifiants. Le second, c’est que vous ne perdez plus cinq minutes pour retrouver lesdits identifiants à chaque connexion sur un nouveau site !
Le deuxième type d’authentification sans friction le plus répandu, c’est l’authentification biométrique. Cela inclut notamment les procédés de reconnaissance faciale ou d’empreinte digitale, qui sont, entre autres, intégrées à la plupart des smartphones modernes (pensez à FaceID ou TouchID sur votre appareil Apple).
Faciliter la connexion de vos utilisateurs est le premier objectif d’une authentification sans friction.Mais qu’en est-il du risque de compromission ?
Le concept de “friction intelligente”
La friction intelligente, c’est le concept par lequel on facilite la connexion des utilisateurs et leur capacité à accéder à leurs données tout en empêchant les intrus d’y accéder. Ceci est réalisé en monitorant en temps réel le comportement des utilisateurs tentant de se connecter, et en créant délibérément des points de friction supplémentaires pour les utilisateurs ayant des comportements suspects. Concrètement, il s’agit des puzzles “je ne suis pas un robot” que vous avez parfois à compléter, ou des codes de connexion qui vous sont envoyées via SMS lors d’une connexion depuis un nouveau navigateur.
L’objectif principal de la friction intelligente, c’est de “catégoriser” les utilisateurs qui tentent d’accéder à votre site, afin de mieux identifier les fraudeurs et les empêcher de passer à travers votre système de sécurité optimisé UX.
L’essentiel est que la friction créée soit adaptée. Son ampleur et son type dépendent de la “confiance” accordée à chaque utilisateur. C’est donc l’évaluation en temps réel du comportement utilisateur qui détermine l’effort d’authentification requis pour que celui-ci puisse accéder à l’étape suivante du processus.
Vous l’aurez compris, toute la subtilité de ce procédé, c’est de déterminer quand et comment appliquer un point de friction supplémentaire à un utilisateur.
3 astuces pour implémenter une “friction intelligente” efficace
Pour mettre en place un système d’authentification incluant des dispositifs de “friction intelligente”, il est intéressant de considérer les trois sujets suivants :
✅ Évaluez le contexte
Certains comptes contiennent des informations sensibles sur les utilisateurs, tandis que d’autres ne contiennent que des données générales (nom ou adresse). Il est donc intéressant d’évaluer la valeur de chaque compte que vous gérez, et de décider du nombre de points de frictions à ajouter selon la sensibilité des données qu’il contient. Dans le cas d’un compte contenant des données biométriques par exemple, il est préférable de pécher par excès de prudence en matière de sécurité. Pour un compte UberEats, le même degré de prudence n’est peut-être pas nécessaire (si le comportement de l’utilisateur n’est pas suspect). Ainsi, vous pouvez sûrement délayer les points de friction ajoutés sur le parcours utilisateur de Louis, qui commande sa pizza pour sa pause déjeuner 🍕
✅ Privilégiez le reverse-engineering
Mettez-vous à la place de vos utilisateurs. En agissant de la sorte, vous serez plus facilement en mesure d’appréhender le niveau de friction qu’ils accepteraient dans un scénario donné. Si vous souhaitez accéder à vos résultats d’analyses sanguines, vous ne serez probablement pas aussi froissé de “subir” une authentification multi-steps que si vous souhaitiez vous connecter à votre compte UberEats. Si vous deviez passer 5 minutes à chaque fois que vous commandez votre pizza, vous changeriez sûrement de service de livraison, pas vrai ?De manière générale, il est préférable de tolérer un certain niveau de risque en simplifiant votre expérience utilisateur, que de rigidifier votre système d’authentification. S’il existe des alternatives à votre offre, agir de la sorte vous évitera certainement de perdre des ventes à cause d’une mauvaise interface utilisateur.
✅ Adaptez les mesures à chaque type de menace
Toutes les menaces ne sont pas créées de la même manière, et vos mesures d’authentification ne doivent pas l’être non plus. Supposons que vous déclenchiez un CAPTCHA à chaque fois qu’un comportement suspect se produit. Bien que cette mesure stoppe de nombreux bots, elle n’empêchera pas un utilisateur malveillant de se connecter à un compte avec des identifiants volés. Dans ce contexte, le recours systématique au CAPTCHA est donc partiellement inutile. Vous pourriez plutôt déployer des outils de sécurité sophistiqués capables d’identifier le type de risque, et d’agir en conséquence. S’il s’agit d’un utilisateur qui souhaite accéder à son compte depuis un nouveau terminal, vous pourriez par exemple avoir recours à un OTP (One-Time-Password). Dans l’exemple précédent, cela stoppera l’utilisateur malicieux (sauf s’il a aussi pris possession du téléphone de sa victime).
Mettre en place un système d’authentification sans friction efficace n’est pas toujours chose aisée.C’est pour cela que nous avons des solutions à vous proposer ⤵️
Comment nous pouvons vous aider
Chez Vaimo, nous considérons qu’aucun e-commercant ne devrait à choisir entre sécurité et expérience utilisateur. C’est pour cela que nous disposons d’une cellule dédiée à la sécurité e-commerce, qui est en mesure d’agir en tandem avec notre service Experience Design pour synergiser les processus. De la définition de vos méthodes d’authentification et de “friction intelligente” au développement de votre solution sur mesure, nous vous accompagnons de A à Z dans votre stratégie.
Et puisque chaque parcours client est différent, les tactiques et les tech stacks que nous concevons le sont aussi. Vous ne savez pas par où commencer ?
Vous pouvez accéder à la liste de nos services de sécurité e-commerce ici, ou bien prendre RDV avec nos experts ci-dessous ⤵️
« * » indique les champs nécessaires