Netflix a changé le quotidien de millions de personnes, mais a aussi façonné le future of work, avec un manifeste très radical sur la culture d’entreprise, où sont notamment promues des valeurs de responsabilité et de liberté.

Mais Netflix est aussi pionnier d’une vision novatrice de la sécurité informatique : l’user focused security approach. Cette vision a été portée grâce un projet interne, le projet Stethoscope.

‍

Le projet Stethoscope

‍

Stethoscope est un Mobile Device Management (MDM), c’est-à-dire une application interne pour aider les utilisateurs à sécuriser leur ordinateur : s’assurer qu’il soit bien chiffré, que les mises à jour soit bien réalisées…

Les MDMs traditionnels fonctionnent de façon centralisée, avec un agent installé sur l’ordinateur : toute action pour sécuriser le device est forcée, sans se préoccuper de ce que veut ou fait l’utilisateur.

Avec Stethoscope, lorsqu’une alerte est détectée, l’utilisateur est prévenu, et c’est lui qui prend la décision de réaliser le correctif, ou non.

‍

Comment fonctionne l’User Focused Security ?

‍

Les fondements : incarner les valeurs de Netflix dans tous les process et outils

‍

Le fonctionnement traditionnel du MDM contrevient à un fondement issu du manifeste de Netflix : “les personnes responsables s’épanouissent dans la liberté, et sont dignes de cette liberté.”

L’ambition des équipes sécurité de Netflix est donc d’incarner ces principes dans tous leurs systèmes, les outils et les process. C’est pourquoi Stethoscope laisse toute liberté d’action aux utilisateurs et pari sur leur sens des responsabilités ; cela permet de préserver leur autonomie et leur concentration, tout en améliorant la sécurité de Netflix.

Il faut noter que ce n’est pas en premier lieu une question de bienveillance mais de productivité : nous sommes plus efficaces lorsque nous ne sommes pas contraints par des règles excessives.

‍

Les principes fonctionnels de Stethoscope

‍

‍

Concrètement, ces valeurs s’incarnent dans le fonctionnement de Stethoscope à travers 4 piliers principaux :

• Education : faire le parti de la responsabilité, c’est faire celui de l’intelligence, et toute alerte doit être contextualisée pour l’utilisateur
• Personnalisation : engager les utilisateurs dans cette démarche, c’est personnaliser chaque alerte en l’ancrant dans ses outils du quotidien
• Self service : préserver la productivité de l’utilisateur, c’est lui permettre de prendre des décisions par lui-même, sans être dépendant du service informatique
• Actionnabilité : garantir l’efficacité de l’app, c’est accompagner chaque alerte d’une action à prendre, qui doit être simple et compréhensible par l’utilisateur

Les résultats de l’initiative

Si l’initiative vise à préserver l’efficacité de toutes les équipes de Netflix, elle doit aussi contribuer à celle de l’équipe sécurité : le pari a été gagné grâce à Stethoscope, avec l’amélioration de nombreux indicateurs, dont le chiffrement des machines.

‍

Avec elba, l’user focused security pour sécuriser l’usage des SaaS

‍

‍

Stethoscope était centré sur la sécurisation des devices, elba reprend ces principes fondateurs et fonctionnels pour sécuriser l’usage des SaaS.

SaaS et future of work

Les applications sont de plus en plus collaboratives et intégrées, ce qui permet une liberté de création qui n’a jamais été aussi forte. Chacun édite des specs produit sur Notion, on collabore sur le design sur Figma et on sollicite des feedbacks via Loom.

Le problème, c’est que de nouveaux risques apparaissent : fuite de données, applications tierces compromises, authentification faible… Vous l’aurez compris, une nouvelle méthode doit être inventée pour les traiter.

L’user focused security pour les SaaS

Elba s’intègre à vos applications SaaS, détecte les alertes potentielles, alerte les utilisateurs, et leur permet de les résoudre par eux-mêmes, avec des informations simples et contextualisées.

‍

Si vous aussi vous souhaitez protéger vos équipes tout en préservant leur productivité, n’hésitez pas à nous contacter !

‍