Les attaques par navigateur sont omniprésentes et ne sont souvent pas détectées par les outils de sécurité traditionnels.
Les attaques par navigateur sont désormais la forme dominante d’intrusion dans les entreprises. Selon une étude d’Omdia, 95 % des entreprises ont subi de telles attaques au cours de l’année écoulée. Ce qui est alarmant, c’est que les outils de sécurité habituels, les passerelles web, les brokers cloud et les systèmes endpoint, les ont complètement manquées. Ces attaques opèrent à l’intérieur du navigateur après la connexion, là où la surveillance traditionnelle s’arrête. Pour les cadres responsables de la stratégie de gestion des risques, il s’agit là d’un angle mort critique.
Les attaquants ont changé de tactique. Au lieu de casser les systèmes par le biais de vulnérabilités du jour zéroils utilisent simplement les mêmes environnements de navigation que les employés utilisent quotidiennement. Des menaces telles que la compromission de l’extension à long terme de ShadyPanda et l’incident de la mise à jour de Cyberhaven montrent comment les attaquants exploitent des voies légitimes. Ils tirent parti du modèle d’exploitation du navigateur d’entreprise lui-même, où « confiance » est synonyme d’invisibilité.
Selon Omdia, 64 % du trafic d’entreprise crypté n’est pas inspecté et 65 % des entreprises admettent qu’elles n’ont aucune visibilité sur la manière dont les employés partagent des données par l’intermédiaire d’applications d’intelligence artificielle. Ces lacunes permettent aux attaquants de compromettre les navigateurs à l’aide d’extensions, d’abuser des autorisations et de voler des informations d’identification sans déclencher d’alertes. Le rapport 2025 de LayerX a révélé que presque chaque utilisateur d’entreprise utilise au moins une extension de navigateur, et que plus de la moitié d’entre elles détiennent des autorisations capables d’accéder aux cookies de session, aux mots de passe et aux contenus sensibles.
Les dirigeants doivent assimiler cette idée : le navigateur n’est plus un simple outil. Il fait partie de l’infrastructure. Le traiter comme un élément secondaire ouvre la porte à des intrusions quasi indétectables. La visibilité après la connexion est devenue la nouvelle frontière de la sécurité d’entreprise.
Les navigateurs modernes sont devenus des environnements d’exécution à haut risque.
L’entreprise moderne fonctionne avec le navigateur. Les plateformes SaaS, les outils cloud, les systèmes de communication et, désormais, les applications alimentées par l’IA, fonctionnent tous en son sein. Cela fait du navigateur un environnement commercial essentiel et, en même temps, une couche d’exécution à haut risque. Les risques ne sont pas dus au fait que les navigateurs sont mal conçus, mais au fait que les entreprises les traitent encore comme des interfaces neutres plutôt que comme des environnements d’exploitation actifs qui gèrent l’authentification, les sessions et les flux de travail sensibles.
Elia Zaitsev, directeur de la technologie chez CrowdStrike, l’a dit clairement : « Les adversaires modernes ne s’introduisent pas par effraction, ils se connectent. Cette évolution signifie que les attaquants n’ont plus besoin d’exploits sophistiqués pour pénétrer dans un réseau. Ils prennent des informations d’identification valides, des jetons de session ou des extensions de navigateur et opèrent discrètement dans des espaces en ligne de confiance. Les architectures d’entreprise traditionnelles ne vérifient la sécurité qu’avant que l’utilisateur ne se connecte, puis supposent que tout ce qui se trouve à l’intérieur de la session est sûr. Cette hypothèse ne tient plus.
Sam Evans, responsable de la sécurité de l’information chez Clearwater Analytics, a expliqué comment l’intégration de la sécurité dans le navigateur a simplifié la protection pour son entreprise. Les employés pouvaient travailler librement pendant que le navigateur se chargeait de l’application des politiques et de la surveillance. Cette approche a permis de gérer les menaces au plus près de l’utilisateur, là où elles prennent naissance, sans dépendre de produits de sécurité périphériques susceptibles d’étouffer la productivité ou de tomber en panne dans des environnements distants.
Pour les chefs d’entreprise, le message clé est stratégique. Le navigateur est désormais aussi essentiel à la sécurité que les pare-feu ou les systèmes d’identité. En l’ignorant, vous risquez de creuser un fossé invisible dans la défense. Il est plus judicieux de reconnaître que le navigateur est à la fois une application et un plan de contrôle, qui mérite une visibilité et une protection de niveau entreprise.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
Les mécanismes de détection traditionnels s’affaiblissent dès que les attaquants utilisent des informations d’identification ou des jetons valides.
Une fois qu’un attaquant a obtenu des informations d’identification valides ou des jetons de session, la plupart des défenses de l’entreprise sont aveugles. L’intrusion se produit au sein d’une session de confiance, pas en dehors. Les systèmes de détection conventionnels ont été conçus pour vérifier l’identité de l’utilisateur au moment de la connexion, puis pour supposer que toutes les actions ultérieures sont légitimes. Cette hypothèse est aujourd’hui dépassée. Les attaquants peuvent capturer des jetons, rejouer des sessions et opérer en tant qu’utilisateurs authentiques sans déclencher d’alarmes.
Elia Zaitsev, directeur de la technologie chez CrowdStrike, explique directement ce changement : « Les adversaires modernes ne s’introduisent pas par effraction, ils se connectent. Leurs méthodes consistent à exploiter ce en quoi les équipes de sécurité ont toujours eu le plus confiance, à savoir les sessions authentifiées. Ces attaquants ne s’appuient plus sur des logiciels malveillants ou des kits d’exploitation. Ils utilisent les mêmes identifiants, navigateurs et applications que les employés utilisent quotidiennement. Par conséquent, ce que de nombreuses organisations considèrent comme sécurisé est, en réalité, opaque.
Les dirigeants doivent comprendre que la compromission basée sur les informations d’identification n’est pas une défaillance technologique, mais un problème de visibilité. Une fois authentifiés, les acteurs malveillants peuvent télécharger des données, transférer des fichiers ou apporter des modifications à la configuration, tout en paraissant légitimes. L’identification de ce type de menace nécessite une surveillance comportementale qui examine ce qui se passe après l’authentification. Des actions telles que des schémas d’accès aux fichiers inhabituels, des volumes de transfert de données anormaux ou des écarts par rapport au contexte de l’utilisateur constituent des indicateurs de compromission plus solides que des informations d’identification ou des jetons statiques.
La solution consiste à corréler l’activité du navigateur en temps réel avec les données relatives à l’identité, aux terminaux et au réseau. Lorsque ces signaux fusionnent, les équipes de sécurité peuvent distinguer les opérations normales des comportements manipulateurs. Pour les dirigeants d’entreprise, cet alignement est une nécessité stratégique. Les outils traditionnels qui arrêtent la surveillance après la connexion ne sont plus adaptés. La capacité de voir et d’interpréter ce qui se passe dans les sessions de navigation en direct doit désormais être considérée comme un élément fondamental de la cybersécurité.
L’adoption rapide de l’IA générative a ouvert de nouvelles voies à l’exfiltration de données via les navigateurs
L’IA générative a changé la façon dont les employés interagissent avec les données. Sa croissance au sein des entreprises est massive, le rapport State of Generative AI 2025 de Palo Alto Networks indique une augmentation de 890 % du trafic GenAI en 2024, les entreprises comptant désormais en moyenne 66 applications GenAI. Cependant, cette expansion introduit des risques sérieux, souvent invisibles. Les employés peuvent partager par inadvertance des informations confidentielles au sein d’outils d’IA qui fonctionnent dans le navigateur, brouillant ainsi la frontière entre l’utilisation productive et la perte de données.
Au niveau du réseau, les activités légitimes et malveillantes se ressemblent. Elles se présentent toutes deux comme des sessions de navigation cryptées envoyant des données à des points d’extrémité d’IA de confiance. Sans visibilité à l’intérieur du navigateur, il n’y a aucun moyen de savoir si l’utilisateur effectue un travail approuvé ou s’il expose involontairement des informations sensibles. Il s’agit d’un problème subtil que les contrôles traditionnels du réseau ou des points finaux ne peuvent pas identifier.
Sam Evans, responsable de la sécurité de l’information chez Clearwater Analytics, a été confronté à ce défi de première main. Il a vite compris que des outils comme ChatGPT offraient un immense potentiel de productivité, mais aussi un risque important pour la protection des données. Son approche a été mesurée : permettre aux employés d’utiliser des plateformes d’IA approuvées pour la recherche et l’idéation, mais bloquer toute capacité de téléchargement, de copier-coller ou de partage de fichiers qui pourrait entraîner des fuites de données clients ou de code source. Ce simple changement a permis de maintenir la productivité à un niveau élevé tout en protégeant la propriété intellectuelle.
Pour les décideurs, la conclusion est pratique. L’adoption de la GenAI va continuer à s’accélérer et les navigateurs resteront la principale interface d’interaction avec l’IA. Le modèle de sécurité doit évoluer en fonction de cette réalité. Les politiques doivent être appliquées au niveau du navigateur, le point le plus proche des actions de l’utilisateur, afin de surveiller le mouvement des données en temps réel. À mesure que les capacités de l’IA se développent, seule une gouvernance proactive et intégrée au navigateur permettra une adoption sûre à grande échelle sans compromettre la confiance ou la conformité de l’entreprise.
Les investissements dans la sécurité de la couche navigateur soulignent son rôle essentiel dans la défense contre les menaces modernes
L’évolution des schémas d’attaque n’est pas passée inaperçue dans le secteur de la sécurité. Les principaux fournisseurs investissent massivement dans les défenses de la couche navigateur, reconnaissant clairement que le navigateur est désormais au cœur de l’architecture de sécurité de l’entreprise. CrowdStrike a dépensé 1,16 milliard de dollars pour acquérir Seraphic Security et SGNL en janvier 2026, deux sociétés spécialisées dans la protection des navigateurs. Palo Alto Networks a fait de même en 2023, en acquérant Talon. Ces acquisitions montrent que les principaux fournisseurs de solutions de sécurité considèrent que la visibilité et le contrôle des navigateurs sont au cœur de la prochaine phase de protection des entreprises.
Deux voies stratégiques différentes se dessinent. L’un des camps, représenté par Island, préconise le remplacement complet de Chrome et Edge par des navigateurs d’entreprise spécifiques offrant un contrôle approfondi et une intégration de la sécurité. L’évaluation d’Island a atteint 4,8 milliards de dollars en mars 2025, ce qui témoigne de la confiance des investisseurs. Le second camp, qui comprend des entreprises comme Menlo Security, se concentre sur la superposition de contrôles de sécurité sur les navigateurs existants, permettant une protection sans changer les habitudes des utilisateurs ni reformater les flux de travail. Les deux approches sont viables, mais chacune comporte des compromis entre l’adoption par les utilisateurs et la profondeur de la surveillance de la sécurité.
Elia Zaitsev, directeur de la technologie chez CrowdStrike, souligne que l’efficacité de l’un ou l’autre modèle dépend de l’association de la télémétrie du navigateur avec les signaux d’identité et les données des points d’extrémité. L’authentification seule confirme qui s’est connecté, mais ne permet pas de savoir si cette session a été utilisée à mauvais escient par la suite. Sans relier ces flux d’informations en temps réel, il est impossible de distinguer l’activité légitime de l’exfiltration malveillante au sein de la session de navigation.
Pour les dirigeants, il s’agit d’un point de décision stratégique. L’objectif n’est pas seulement de sélectionner un fournisseur, mais de déterminer si l’activité du navigateur est intégrée dans les flux de travail plus larges de l’organisation en matière d’identité et de détection. Les entreprises qui établissent cette intégration bénéficieront d’une sécurité plus forte, plus rapide et plus adaptative. Le navigateur doit désormais être traité comme une couche d’intelligence, et non comme une surface isolée.
Les meilleures pratiques opérationnelles peuvent améliorer la sécurité des navigateurs
Les RSSI qui ont déjà mis en œuvre la sécurité de la couche navigateur partagent des enseignements cohérents. Les résultats montrent que des mesures pratiques, fondées sur des politiques, peuvent réduire les risques avant même le déploiement de nouvelles plates-formes importantes. Le premier principe consiste à maintenir un inventaire complet de toutes les extensions du navigateur. L’utilisation des API de gestion des navigateurs pour identifier chaque extension, ses autorisations et son exposition potentielle permet aux équipes informatiques de savoir où se trouve l’accès sensible. Les extensions surprivilégiées ou inconnues représentent souvent un risque silencieux.
Le deuxième principe consiste à ralentir les mises à jour automatiques des navigateurs. Si les correctifs rapides atténuent les vulnérabilités, ils introduisent également des risques pour la chaîne d’approvisionnement, comme l’a montré l’attaque de Cyberhaven, où une mise à jour compromise a atteint 400 000 clients en 48 heures. Un délai de 48 à 72 heures pour la mise à jour donne un temps crucial pour la détection et l’endiguement.
La troisième pratique consiste à transférer les capacités de prévention des pertes de données (DLP) dans le navigateur lui-même. Sam Evans, responsable de la sécurité de l’information chez Clearwater Analytics, a indiqué que l’application de contrôles DLP dans le navigateur a été un tournant. Son équipe a pu bloquer les copier-coller et les téléchargements de fichiers vers des sites web non autorisés, réduisant ainsi les voies d’exfiltration des données sans perturber les flux de travail des employés.
En outre, l’élimination de la prolifération des navigateurs, c’est-à-dire des installations non approuvées de navigateurs tels qu’Opera ou d’alternatives moins connues, permet d’éviter les lacunes dans l’application de la loi. L’extension de la vérification de l’identité aux sessions de navigation, la surveillance des anomalies telles que les schémas d’accès anormaux ou l’escalade des privilèges, et la transmission de ces signaux au centre des opérations de sécurité complètent la boucle de contrôle nécessaire.
M. Evans insiste également sur la valeur de la transparence. La présentation d’exemples réels, tels que l’application d’une politique en action, a aidé son conseil d’administration à comprendre l’effet de ces protections. Les contrôles en temps réel de la couche navigateur ont démontré la conformité et réduit le besoin de discussions théoriques sur la sécurité.
Pour les chefs d’entreprise, ces modèles représentent des moyens éprouvés et rentables d’améliorer la sécurité des navigateurs. Le succès dans ce domaine ne dépend pas uniquement d’investissements importants, mais d’une précision opérationnelle. La première étape est une meilleure visibilité, suivie d’un contrôle discipliné au sein des sessions en cours. Ceux qui y parviennent peuvent assurer à la fois la sécurité et la productivité à grande échelle.
Le renforcement de la sécurité des navigateurs commence par l’exploitation de l’infrastructure existante et la réévaluation des contrôles actuels.
La voie la plus rapide pour améliorer la sécurité des navigateurs ne passe pas toujours par l’achat de nouvelles technologies. Il commence par une réévaluation des systèmes déjà en place. De nombreuses entreprises disposent déjà des bonnes bases, de cadres de gestion des identités et des points finaux matures, mais elles ne parviennent pas à étendre ces protections aux sessions de navigation en direct, là où réside désormais l’essentiel du travail et des risques. En comblant cette lacune, les investissements existants se transforment en défenses actives.
Un examen structuré devrait commencer par les bases : identifier toutes les extensions de navigateur installées, retarder les cycles de mise à jour automatique pour limiter l’exposition de la chaîne d’approvisionnement, et appliquer des politiques de données strictes au niveau du navigateur. Ces mesures permettent aux organisations de limiter immédiatement l’exposition, en utilisant des capacités qui existent déjà dans la plupart des environnements. L’essentiel est de passer d’une sensibilisation passive à une application continue, dans le navigateur, qui identifie les menaces pendant que les utilisateurs travaillent.
Sam Evans, responsable de la sécurité de l’information chez Clearwater Analytics, a démontré l’aspect pratique de cette approche. En appliquant des contrôles au niveau du navigateur et en montrant à son conseil d’administration un exemple en direct de partage de fichiers bloqué dans ChatGPT, il a créé la confiance nécessaire pour que ces mesures fonctionnent en temps réel. Son équipe est parvenue à renforcer la surveillance sans réduire la flexibilité des employés ni recourir à des outils peu familiers.
Pour les dirigeants, l’idée stratégique est que la visibilité et l’intégration définissent désormais une sécurité efficace. La réduction des risques ne dépend plus uniquement de l’ajout de technologies périmétriques, mais de la coordination en temps réel de chaque couche de sécurité, navigateur, identité et point d’extrémité. Dans ce modèle, le navigateur devient une extension de l’intelligence de l’entreprise plutôt qu’un angle mort.
Les organisations qui adoptent cet état d’esprit renforcent non seulement leur dispositif de sécurité, mais gagnent également en clarté et en souplesse dans leur manière de répondre aux menaces. Le résultat est mesurable : moins de vulnérabilités cachées, des cycles de décision plus rapides et une plus grande résilience dans l’ensemble de l’espace de travail numérique.
En conclusion
Le navigateur est désormais au cœur du travail numérique et au centre des risques modernes. Il exécute les outils qui dirigent les activités, SaaS, AI, la communication et les plateformes cloud, ce qui en fait l’actif le plus précieux et le plus négligé de l’entreprise. Les défenses traditionnelles ont été conçues pour un monde où la sécurité s’arrêtait à la connexion. Ce monde n’existe plus.
Pour les dirigeants, la prochaine phase de la stratégie de sécurité concerne la visibilité et la corrélation. La télémétrie des identités, des terminaux et des navigateurs doit fonctionner comme un système unique. L’objectif n’est pas seulement de détecter, mais de comprendre, en temps réel, ce qui se passe à chaque session où le travail et les données se croisent. Lorsque ces couches sont connectées, les attaques perdent leur invisibilité.
Investir dans la sécurité de la couche navigateur ne consiste pas à suivre les tendances. Il s’agit de reconnaître où le travail se fait et de s’assurer que la confiance est vérifiée en permanence, même au sein des sessions authentifiées. Les entreprises qui traitent le navigateur comme un plan de contrôle actif gagneront plus que de la résilience ; elles gagneront en rapidité, en visibilité et en confiance pour chaque action en ligne.
Le message est simple : le navigateur est devenu la nouvelle frontière commerciale. Protégez-le en conséquence.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
