Ce que nos logs de sécurité ont révélé sur un problème produit
Tout a commencé par des alertes Slack

Depuis plusieurs mois, nous recevions régulièrement des alertes remontées automatiquement depuis nos logs :
- trop de tentatives de connexion ;
- comptes temporairement bloqués ;
- réinitialisations de mots de passe.
Pris individuellement, ces événements semblaient anecdotiques. Mais leur fréquence a fini par attirer mon attention.
Le contexte : un choix produit assumé
Chez Marion Livraison, nous avons fait le choix d'un compte unique par entreprise.
Ce choix simplifie :
- l'onboarding ;
- l'administration.
Plusieurs collaborateurs utilisent donc les mêmes identifiants.
C'était un compromis assumé.
Le problème n'était pas le login
En analysant les alertes, nous avons compris un scénario récurrent. Un employé oublie le mot de passe. Il le réinitialise. Les autres collaborateurs continuent d'utiliser l'ancien mot de passe. Les tentatives échouent. Le système déclenche le mécanisme de protection contre les attaques par force brute. Le compte est temporairement bloqué. Le problème n'était pas l'authentification. Le problème était la gestion d'un secret partagé.
La solution parfaite était disproportionnée
Nous aurions pu créer :
- des comptes individuels ;
- des rôles ;
- une administration des accès.
Mais cela aurait ajouté une complexité importante pour un problème finalement bien identifié. Nous avons donc choisi une solution plus pragmatique.
Réduire la fréquence de la friction
Nous avons ajouté une option : Se souvenir de moi pendant 30 jours sur cet appareil. Disponible pour les comptes entreprise facturés mensuellement. L'objectif n'était pas de supprimer complètement le problème. L'objectif était de réduire le nombre de situations où les utilisateurs devaient ressaisir un mot de passe partagé.
Moins de connexions.
Moins de réinitialisations.
Moins de comptes bloqués.
Ce que j'en retiens
Tous les problèmes produit ne se trouvent pas dans les interviews utilisateurs. Certains apparaissent dans les logs. D'autres dans les tickets support. D'autres encore dans des alertes techniques. Le rôle du Product Manager consiste souvent à relier ces signaux faibles pour comprendre ce qu'ils révèlent réellement. Dans notre cas, des alertes de sécurité répétées cachaient une friction liée à un choix produit assumé. La bonne réponse n'était pas de remettre en cause ce choix. C'était d'en réduire les effets de bord.