Sécurité du navigateur : protégez le plus grand angle mort de votre entreprise

Les équipes de sécurité des entreprises ont passé des années à renforcer les réseaux, verrouiller les endpoints et bâtir des périmètres d’identité. Pourtant, l’endroit où les employés travaillent—le navigateur—reste en grande partie non protégé. Ce n’est pas une faille théorique. C’est là que commencent la plupart des violations modernes.

Le navigateur d’entreprise n’est plus un simple point d’accès : il est devenu l’interface principale pour quasiment toutes les opérations métiers. Les employés y authentifient leur identité, accèdent aux applications SaaS, interagissent avec des outils GenAI, installent des extensions et manipulent des données sensibles, tout cela au sein de sessions navigateur. Les outils de sécurité traditionnels comme la prévention des pertes de données (DLP), la détection et la réponse sur les endpoints (EDR) et les plateformes Secure Service Edge (SSE) ont été conçus pour une autre époque. Ils ne voient ni ne contrôlent ce qui se passe à l’intérieur du navigateur.

Points clés à retenir

1. Le navigateur est devenu la principale surface d’attaque de l’entreprise. Aujourd’hui, tout le travail s’effectue dans les navigateurs—accès aux applications SaaS, utilisation d’outils GenAI, authentification, manipulation de données sensibles—mais ce endpoint échappe à la visibilité des solutions de sécurité traditionnelles. À mesure que le périmètre de sécurité se déplace des réseaux et appareils vers la barre d’onglets du navigateur, les organisations font face à leur plus grande zone d’ombre, là où fuite de données, vol d’identifiants et risques liés à l’IA convergent.
2. GenAI est désormais le canal n°1 d’exfiltration de données en entreprise. Avec 45 % des employés utilisant des outils IA et 77 % collant des données dans les prompts, GenAI représente 32 % de tous les transferts de données de l’entreprise vers des comptes personnels. Près de 90 % de cette activité échappe à la surveillance de l’entreprise via des comptes personnels, et 40 % des fichiers téléchargés contiennent des informations personnelles identifiables (PII) ou des données PCI, faisant de l’IA le canal de données à la croissance la plus rapide et la moins encadrée dans les environnements professionnels.
3. Les extensions de navigateur fonctionnent comme une supply chain logicielle invisible. Pratiquement tous les utilisateurs en entreprise (99 %) ont installé des extensions, dont plus de la moitié disposent d’autorisations élevées ou critiques pour accéder aux cookies, tokens de session et identités. Pourtant, 54 % des éditeurs utilisent des comptes Gmail non vérifiés, 26 % des extensions sont installées en dehors des stores officiels, et la moitié n’a pas été mise à jour depuis plus d’un an, créant une supply chain logicielle non gérée intégrée à chaque session utilisateur, que les outils de sécurité classiques ne peuvent ni surveiller ni contrôler.
4. Le copier-coller a remplacé le transfert de fichiers comme principal vecteur de fuite de données. Les employés réalisent en moyenne 46 opérations de collage par jour, dont quatre vers des comptes personnels contenant des données sensibles PII ou PCI. Ce mouvement de données via le presse-papiers échappe totalement aux contrôles DLP centrés sur les fichiers, avec 62 % des collages dans les applications de messagerie contenant des données sensibles et 87 % via des comptes non gérés, faisant du copier-coller la voie d’exfiltration invisible dominante.
5. La sécurité des identités doit aller au-delà de l’authentification pour protéger les sessions. 68 % des connexions professionnelles se font sans SSO et 43 % des accès SaaS passent par des comptes personnels, la gouvernance des identités s’arrête donc à l’IdP alors que le risque subsiste dans le navigateur. Les attaques modernes exploitent le vol de tokens de session navigateur pour contourner complètement l’authentification multifactorielle, rendant la validation continue des sessions et la surveillance des identités au niveau du navigateur essentielles, au lieu de se concentrer uniquement sur l’instant d’authentification.

Ce manque de visibilité crée une situation explosive. Selon le Browser Security Report 2025 de LayerX, 45 % des employés utilisent activement des outils IA, dont 92 % de cette activité se concentre sur ChatGPT. Presque toute cette utilisation passe par les navigateurs, et non par des applications installées. Parallèlement, 99 % des utilisateurs en entreprise ont au moins une extension installée, dont 53 % avec des autorisations élevées ou critiques. Ces extensions disposent d’un accès quasi-système aux cookies, tokens de session et onglets, alors que 54 % sont publiées via des comptes Gmail gratuits, avec une vérification minimale.

La convergence entre adoption de l’IA, prolifération des extensions et fragmentation des identités dans le navigateur crée une surface d’attaque que les outils de sécurité traditionnels ne peuvent tout simplement pas traiter.

Les outils GenAI sont devenus le principal canal d’exfiltration de données

L’adoption de l’IA générative en entreprise est sans précédent. Quelques mois après le lancement de ChatGPT, il s’est intégré aux workflows quotidiens des organisations. Les chiffres montrent que GenAI représente désormais 11 % de l’utilisation totale des applications en entreprise, au même niveau que l’e-mail et les réunions en ligne comme outil fondamental.

Les conséquences pour la sécurité sont majeures. Près de 90 % des connexions IA échappent à la surveillance de l’entreprise, avec 67 % via des comptes personnels et 21 % via des comptes professionnels sans SSO. Seuls 12 % des accès GenAI respectent les standards d’authentification de l’entreprise. Cela signifie que la plupart des sessions IA se déroulent hors de la visibilité IT, sans trace de ce qui est partagé, saisi ou téléchargé.

Le téléchargement de fichiers vers les plateformes GenAI est devenu courant : 25 % des employés téléchargent des fichiers vers des outils IA. Détail préoccupant : 40 % des fichiers envoyés à GenAI contiennent des informations personnelles identifiables (PII) ou des données PCI. Il ne s’agit pas de simples fichiers de configuration ou de tests, mais de dossiers clients, données financières et informations propriétaires injectés dans des modèles IA externes.

Mais les téléchargements de fichiers ne sont qu’une partie de l’exposition. L’activité de copier-coller est devenue le principal mécanisme de transfert de données, échappant totalement aux contrôles DLP centrés sur les fichiers. Les données montrent que 77 % des employés collent des données dans les outils GenAI, dont 82 % via des comptes personnels non gérés. GenAI représente désormais 32 % de tous les transferts de données de l’entreprise vers des comptes personnels, devenant ainsi le premier canal d’exfiltration dans les navigateurs d’entreprise.

La gouvernance traditionnelle conçue pour l’e-mail, le partage de fichiers et les SaaS autorisés n’avait pas anticipé que le copier-coller dans une invite de navigateur deviendrait le principal vecteur de fuite. Les employés n’agissent pas de façon malveillante—ils utilisent l’IA pour gagner en productivité. Mais chaque collage dans ChatGPT ou téléchargement sur un compte Gemini personnel expose potentiellement des données sensibles à des grands modèles de langage publics.

Au-delà des plateformes majeures, une multitude de petits outils IA crée d’autres angles morts. Les cinq principales applications IA concentrent 86 % du trafic, mais les 14 % restants se répartissent sur de nombreux outils non autorisés dont la plupart des entreprises ignorent l’existence. Cet écosystème Shadow AI étend l’exposition des données bien au-delà des plateformes surveillées par les équipes de sécurité.

Les navigateurs IA créent une couche de risque secondaire invisible

Une nouvelle génération de navigateurs dopés à l’IA transforme fondamentalement la façon dont les employés interagissent avec le web. Selon l’analyse du rapport, des outils comme Perplexity Browser, Arc Search, Brave AI ou le mode Copilot d’Edge ne se contentent pas d’afficher des pages web—ils lisent, résument et analysent activement le contenu. Ces navigateurs intègrent des grands modèles de langage directement dans l’expérience de navigation, traitant en continu tout ce qui s’affiche à l’écran.

Pour les utilisateurs, cela crée une expérience fluide où l’assistance IA est toujours disponible. Pour les équipes de sécurité, cela crée ce que le rapport qualifie de « endpoint IA invisible ». Ces navigateurs accèdent à des contenus sensibles via les données de session, les cookies et les onglets SaaS ouverts pour personnaliser les résultats. Chaque interaction peut alimenter des modèles IA externes, sans aucune visibilité des systèmes DLP ou de monitoring de l’entreprise.

Contrairement aux navigateurs classiques, les navigateurs IA fonctionnent avec une conscience ambiante des sessions de navigation. Ils capturent le contexte des onglets actifs, de l’historique de recherche et des interactions pour fournir des réponses intelligentes. Cela signifie que des documents d’entreprise, des données clients et des communications internes visibles dans les onglets peuvent être traités par des systèmes IA externes sans action explicite de l’utilisateur.

Des fuites de mémoire de session surviennent lorsque les navigateurs IA capturent le contenu des onglets, l’historique de recherche et le texte copié pour personnaliser les réponses. Le shadow prompting se produit lorsque ces navigateurs génèrent automatiquement des requêtes en arrière-plan pour résumer des documents ou améliorer des brouillons. Ces prompts cachés transmettent le contenu des pages hors de la visibilité de l’entreprise, créant des voies d’exfiltration sans fichier.

L’aspect le plus préoccupant : les éditeurs de sécurité pour navigateurs comme Island ou la solution Secure Enterprise Browser de Palo Alto dépendent du remplacement total du navigateur par défaut de l’utilisateur. Si un employé installe un navigateur IA comme Perplexity ou Arc, ces plateformes de sécurité n’offrent aucune protection, car elles ne fonctionnent que dans leur propre environnement contrôlé. Les utilisateurs qui souhaitent explorer de nouveaux outils IA sortent instantanément du périmètre de sécurité.

Cela crée un décalage fondamental entre les usages des utilisateurs et l’architecture de sécurité. Les employés adopteront les navigateurs IA pour gagner en productivité, et la sécurité d’entreprise n’a aucun moyen pratique de prévenir ou surveiller cela sans bloquer l’accès à toute une catégorie d’outils légitimes.

Les extensions de navigateur fonctionnent comme une supply chain logicielle non gérée

Les équipes de sécurité en entreprise vérifient avec soin les installations logicielles, suivent les relations fournisseurs et tiennent à jour des listes d’applications approuvées. Pourtant, les extensions de navigateur—qui ont souvent un accès plus profond aux données utilisateur que les applications installées—sont rarement contrôlées.

Les chiffres révèlent l’ampleur de ce point aveugle. L’analyse des déploiements de navigateurs en entreprise montre que 99 % des utilisateurs ont au moins une extension installée. L’utilisateur moyen en exécute plusieurs simultanément, dont 53 % disposent d’au moins une extension avec des autorisations élevées ou critiques. Ces autorisations donnent accès aux cookies, la possibilité de lire et modifier les données sur les sites web, de contrôler les onglets du navigateur, et parfois même d’accéder à l’identité de l’utilisateur.

Le modèle de confiance des extensions est fondamentalement défaillant. Alors que 95 % des extensions Chrome comptent moins de 10 000 installations, les entreprises autorisent couramment l’installation de ces outils de niche. La responsabilité des développeurs est minimale—54 % des éditeurs d’extensions utilisent un compte Gmail gratuit comme identifiant principal, sans aucune vérification ou responsabilité organisationnelle.

La maintenance des extensions représente un autre risque. Environ 51 % de toutes les extensions installées n’ont pas été mises à jour depuis plus de 12 mois. Un quart n’a pas été mis à jour depuis plus d’un an, bien qu’elles soient publiées par des comptes Gmail anonymes, ce qui laisse penser qu’il s’agit de projets amateurs abandonnés, sans support ni correctif de sécurité.

Les extensions dopées à l’IA présentent des risques particulièrement aigus. Plus de 20 % des utilisateurs en entreprise ont installé des extensions IA, et 58 % de ces extensions disposent d’autorisations élevées ou critiques. Ces outils demandent généralement l’accès à la lecture du contenu des pages, la capture des saisies et l’interaction avec des plateformes GenAI—autorisations leur permettant d’intercepter des données sensibles et de contourner les contrôles d’accès IA au niveau réseau. L’analyse montre qu’environ 6 % des extensions GenAI sont classées comme malveillantes, ce qui en fait un vecteur de risque majeur.

Selon l’étude de cas du rapport, la compromission de l’extension Cyberhaven en décembre 2024 illustre la gravité de ces attaques. Les attaquants ont compromis le compte développeur via du phishing par consentement, puis diffusé une mise à jour malveillante automatiquement déployée auprès de plus de 400 000 utilisateurs. L’extension compromise surveillait les visites sur des sites comme Facebook et exfiltrait tokens de session et cookies, permettant de détourner les sessions utilisateur. Cette brèche a démontré que même les outils de sécurité peuvent devenir des vecteurs d’attaque lorsqu’ils sont distribués sous forme d’extensions navigateur.

Les extensions installées en dehors des stores officiels aggravent ces risques. Si la plupart proviennent des stores officiels, 26 % sont installées par des applications externes, ouvrant la voie à des attaques malveillantes injectant du code directement dans les navigateurs d’entreprise, sans aucun des contrôles même limités des stores officiels.

La gouvernance des identités s’arrête à l’IdP, le risque continue dans le navigateur

Les entreprises ont beaucoup investi dans l’infrastructure d’identité—SSO, authentification multifactorielle (MFA), fédération d’identité. Pourtant, ces contrôles protègent principalement l’instant d’authentification. Une fois la session navigateur établie, les outils d’identité classiques perdent toute visibilité sur la suite des événements.

La télémétrie navigateur révèle que 68 % des connexions professionnelles se font sans SSO. Par ailleurs, 43 % des applications SaaS sont accessibles via des identifiants personnels plutôt que des comptes d’entreprise. Cela signifie que la majorité des usages d’identité échappe au modèle de gouvernance que les équipes de sécurité pensent avoir mis en place.

La tendance se confirme même pour les applications critiques. Les systèmes ERP affichent 83 % de connexions sans SSO. Les plateformes CRM, 71 %. Les outils de partage de fichiers, 47 %. Or, ce sont précisément ces applications qui hébergent les données clients et financières les plus sensibles, mais les employés y accèdent régulièrement via des identifiants non gérés, invisibles pour l’IT.

Le problème des comptes personnels touche toutes les catégories. GenAI enregistre 67 % d’utilisation via des comptes personnels. Les plateformes de chat et messagerie instantanée, 87 %. Les réunions en ligne, 60 %. Les employés créent des identités fantômes en se connectant à des SaaS d’entreprise avec des comptes personnels ou des identifiants non fédérés, fragmentant la cartographie des identités et rendant impossible l’application de règles cohérentes.

Les pratiques de gestion des mots de passe aggravent l’exposition. L’analyse montre que 54 % des mots de passe professionnels sont de force moyenne ou inférieure. Par ailleurs, 26 % des utilisateurs réutilisent leurs mots de passe sur plusieurs comptes. Ces pratiques d’authentification faibles rendent les attaques par credential stuffing et cassage de mots de passe très efficaces, surtout combinées à la prévalence des connexions sans SSO.

Les extensions de navigateur créent une exposition supplémentaire des identités. Près de 8 % des utilisateurs en entreprise ont installé des extensions accédant à leur identité, et environ 6 % disposent d’extensions accédant aux cookies du navigateur. Dans des environnements où la compromission d’un identifiant peut entraîner une brèche à l’échelle de l’organisation, cela représente un risque systémique majeur.

Selon l’analyse du rapport sur la campagne Scattered Spider, les attaques modernes exploitent efficacement les faiblesses d’identité dans le navigateur. Le groupe de menaces a utilisé l’ingénierie sociale pour pousser des employés à partager leurs identifiants ou réinitialiser la MFA, puis a contourné l’authentification supplémentaire en volant les tokens de session navigateur. Ces tokens ont permis aux attaquants d’usurper l’identité des utilisateurs sans avoir besoin de mots de passe ou de relancer la MFA. L’attaque a réussi parce que les outils IAM traditionnels n’ont aucune visibilité sur les sessions navigateur, où circulent cookies, identifiants et tokens mis en cache sans protection.

Le détournement de session est devenu plus efficace que le vol de mots de passe. Une fois qu’un attaquant vole un token de session valide dans un navigateur, il obtient un accès instantané, sans MFA, aux applications professionnelles. Il peut se déplacer latéralement dans les environnements SaaS en utilisant des identifiants légitimes, tout en restant invisible pour les contrôles de sécurité classiques.

Le copier-coller a remplacé le transfert de fichiers comme principal vecteur de fuite de données

Pendant des années, la DLP centrée sur les fichiers surveillait les pièces jointes, téléchargements et partages sur des disques partagés. L’e-mail reste le principal canal de partage de fichiers, avec 64 % des employés y téléchargeant des fichiers. 38 % utilisent des plateformes de stockage et de partage, et 41 % des fichiers téléchargés sur ces plateformes contiennent des données PII ou PCI.

Mais les téléchargements ne représentent plus le risque dominant. La plupart des données sensibles quittent désormais l’entreprise via des actions de copier-coller dans des comptes navigateurs non gérés, des prompts GenAI, des applications de messagerie et des outils collaboratifs. Ce mouvement de données via le presse-papiers échappe à tous les contrôles DLP centrés sur les fichiers.

L’ampleur des collages est considérable. Un employé effectue en moyenne 46 collages par jour. Les comptes professionnels génèrent un volume global plus élevé avec 42 collages quotidiens, mais les comptes personnels présentent un risque disproportionné. Les comptes non professionnels comptent 15 collages par jour en moyenne, dont quatre contiennent des données sensibles PII ou PCI. Cette concentration signifie que les comptes personnels, bien que moins actifs, présentent un risque bien plus élevé par interaction.

Le stockage de fichiers représente 46 % des destinations de collage, ce qui en fait le deuxième canal après GenAI. Les plateformes de chat/messagerie instantanée et les CRM reçoivent chacune environ 15 % des collages. Si leur volume est moindre, les collages dans les applications critiques présentent des risques majeurs en raison de la nature des données concernées.

L’exposition des données sensibles est la plus forte dans les applications de chat et de messagerie instantanée, où 62 % des collages contiennent des données PII ou PCI et 87 % passent par des comptes non gérés. Cela fait de la messagerie instantanée l’un des plus grands angles morts pour la fuite de données. Les applications bureautiques affichent un taux de 20 % de collages sensibles, le stockage de fichiers 17 %.

Selon l’étude de cas du rapport sur l’incident Rippling-Deel mi-2025, l’impact réel des applications de messagerie non surveillées est apparu lorsque des messages internes entre dirigeants ont fuité via des applications tierces connectées à Slack et WhatsApp. Ces applications, utilisées pour l’automatisation des ventes et du recrutement, avaient un accès complet à l’historique des messages privés et aux pièces jointes. La fuite a exposé des informations clients confidentielles et des discussions stratégiques internes, montrant à quel point les workflows dépendent d’extensions SaaS et de messagerie non surveillées.

Les solutions DLP traditionnelles surveillent les transferts de fichiers, pièces jointes d’e-mails et téléchargements sur le cloud. Elles n’ont aucune visibilité sur les opérations de presse-papiers ou les saisies texte dans les applications navigateur, créant une faille majeure là où le principal mouvement de données échappe à tout contrôle de sécurité.

Le navigateur est désormais le plus grand endpoint non protégé de l’entreprise

Le périmètre, autrefois défini par les appareils et les réseaux, s’est déplacé vers la barre d’onglets du navigateur. Chaque identité, chaque application SaaS, chaque donnée d’entreprise passe désormais par le navigateur. Cela englobe appareils gérés et non gérés, applications autorisées et non autorisées, comptes personnels et professionnels.

Pourtant, malgré cette centralité, le navigateur échappe à la visibilité des plateformes DLP, EDR, SSE et Cloud Access Security Broker (CASB). Ces outils ont été conçus pour une architecture différente—où les données circulaient sur les réseaux, les applications tournaient sur les endpoints et les fichiers étaient le principal vecteur de transfert.

Le travail moderne ne suit plus ces schémas. Les employés accèdent aux applications via les navigateurs, pas via VPN. Ils déplacent les données par copier-coller et prompts, pas par transfert de fichiers. Ils s’authentifient via des tokens de session stockés dans le navigateur, pas via des identifiants réseau. Le périmètre de sécurité a changé, mais la pile de sécurité n’a pas suivi.

La faille est particulièrement marquée pour le télétravail et les scénarios BYOD. Quand les employés travaillent sur des appareils personnels ou non gérés, les outils de sécurité endpoint classiques ne couvrent rien. Pourtant, le travail s’effectue toujours dans les navigateurs, accédant aux mêmes applications et manipulant les mêmes données sensibles.

La convergence entre adoption de l’IA, prolifération des extensions et fragmentation des identités crée une surface de risque que les architectures de sécurité traditionnelles ne peuvent pas traiter. Les outils Shadow AI opèrent hors de tout contrôle IT. Les extensions de navigateur fonctionnent comme une supply chain logicielle non vérifiée intégrée à chaque session utilisateur. Les comptes personnels fragmentent la gouvernance des identités. Les opérations de copier-coller déplacent les données sensibles de façon invisible.

Chacune de ces tendances représenterait déjà un défi majeur. Ensemble, elles font du navigateur le composant le plus critique et le plus vulnérable de l’infrastructure de sécurité des entreprises.

Sécuriser le navigateur nécessite des contrôles natifs et en temps réel

La sécurisation du navigateur exige des approches radicalement différentes de la sécurité endpoint ou réseau traditionnelle. Les contrôles doivent s’exercer à l’intérieur même du navigateur, avec une visibilité en temps réel sur les actions des utilisateurs et les mouvements de données.

La sécurité native au navigateur consiste à comprendre le contexte de chaque interaction—qu’il s’agisse d’accès à des comptes professionnels ou personnels, des données copiées ou téléchargées, des extensions ayant accès à des informations sensibles, ou de l’utilisation d’outils IA. Cela implique une surveillance continue des sessions, et pas seulement des événements d’authentification.

La prévention des pertes de données doit aller au-delà des fichiers pour surveiller les téléchargements, opérations de copier-coller, glisser-déposer et saisies dans les prompts. La classification des données doit s’effectuer en temps réel, en identifiant les données PII et PCI au fil de leur circulation dans le navigateur, et en bloquant les actions risquées avant que les données ne quittent l’onglet.

La protection des identités doit passer d’une logique « authentifier et oublier » à une validation continue des sessions. Les contrôles de sécurité doivent imposer SSO et MFA autant que possible, tout en anticipant les dérives. Surveiller les sessions actives pour détecter la réutilisation de tokens, repérer les croisements de comptes entre identifiants personnels et professionnels, et valider la légitimité des sessions en temps réel devient essentiel.

La gouvernance des extensions doit traiter les add-ons comme un enjeu de gestion des risques supply chain. L’évaluation continue de la réputation des développeurs, la fréquence des mises à jour, le niveau d’autorisations et les capacités IA permet aux équipes de sécurité d’identifier les extensions à risque avant qu’elles ne causent des dommages. Suivre les changements de comportement des extensions, à l’image du suivi des bibliothèques tierces en développement logiciel, offre une alerte précoce en cas de compromission.

La gouvernance des données IA doit dépasser la simple gestion de listes d’autorisations ou de blocages pour surveiller les usages réels. Les organisations doivent identifier l’adoption de Shadow AI, restreindre le partage de données sensibles avec des modèles externes, imposer l’accès SSO pour les outils approuvés et proposer des alternatives sécurisées aux employés ayant besoin de fonctions IA.

L’objectif n’est pas de paralyser les utilisateurs ou de bloquer la productivité. Il s’agit d’assurer la sécurité sans perturber—donner accès aux outils nécessaires tout en empêchant la fuite de données sensibles par des canaux invisibles.

La sécurité d’entreprise a passé des années à bâtir une gouvernance autour de l’e-mail, du partage sécurisé de fichiers et des fédérations d’identités. La partie navigateur des workflows—extensions, prompts GenAI, identités et sessions SaaS—a crû sans aucun contrôle. Plus les navigateurs deviennent indispensables à la productivité, moins ils sont surveillés.

Les responsables sécurité font aujourd’hui face à une réalité simple : si vous ne voyez pas ce que font les utilisateurs dans leurs navigateurs, vous n’êtes pas seulement en retard sur la sécurité—vous êtes invisible face à votre plus grande surface de risque. Le navigateur n’est plus optionnel. Il est le plan de contrôle de chaque workflow d’entreprise. Tant que les équipes de sécurité ne le traiteront pas ainsi, les données continueront de quitter l’organisation, et les brèches ne seront découvertes qu’une fois les dégâts causés.