Francis Odum sur la couche qui manque encore à votre pile de sécurité

95 % des organisations signalent des attaques basées sur le navigateur.
La plupart n’ont pas de plan pour les arrêter.

Ce n'est pas une statistique négligeable. C'est un signe que les stratégies de sécurité ne sont pas adaptées aux lieux de travail et aux risques réels.

Aujourd'hui, le navigateur est le lieu où les données circulent, où les décisions sont prises et où se cachent les attaquants.

Alors pourquoi la plupart des piles de sécurité s’arrêtent-elles juste avant ?

In Guide de maturité des navigateurs d'entreprise sécurisés : protéger le dernier kilomètre des risques d'entreprise, stratège en cybersécurité François Odum présente un modèle pratique pour sécuriser enfin le navigateur, la couche la plus négligée de l'entreprise.

Votre navigateur est le seul endroit que votre pile ne voit pas

Commençons par un chiffre qui reformule l’ensemble du problème : 85 % de la journée de travail moderne se déroule désormais dans un navigateur. Cela signifie que chaque connexion, chaque document, chaque tableau de bord, chaque invite GenAI, chaque détail client sensible, tous accessibles et manipulés dans le navigateur.

Et encore:

• EDR surveille le système d'exploitation, pas le DOM.
• CASB ne voit que les applications autorisées, pas celles qui sont réellement utilisées.
• DLP impossible d'inspecter le copier/coller ou les frappes au clavier dans le navigateur.
• SWG bloquer les domaines connus comme mauvais, pas les SaaS dynamiques, pas les extensions, pas les outils GenAI.

Le résultat?
Un véritable risque d'entreprise, sans fichier, rapide et déclenché par l'utilisateur, passe complètement inaperçu. Jusqu'à ce qu'il soit trop tard.

Nous l'avons constaté de visu : des informations personnelles intégrées à un chatbot IA, des fichiers professionnels téléchargés sur des comptes personnels, des cookies d'identification exfiltrés par des extensions. Et tout cela invisible pour la pile censée « tout voir ».

Le guide qui donne enfin aux RSSI un moyen de résoudre ce problème

Francis Odum Guide de maturité des navigateurs d'entreprise sécurisés offre quelque chose dont les équipes de sécurité ont désespérément besoin : un cadre.

Le modèle décrit trois étapes de maturité de la couche navigateur, chacun fondé sur des défis observables et conçu pour des environnements réels.

Étape 1 : Visibilité

Tout commence par une question d’une simplicité trompeuse : Savez-vous seulement ce qui se passe dans vos navigateurs ?

Pour la plupart des organisations, la réponse est non.

Ils ne savent pas quelles extensions sont installées, à quels outils SaaS ils accèdent, où les données sensibles sont collées ou téléchargées, ou si le navigateur s'exécute sur un appareil d'entreprise ou non géré.

L’étape 1 consiste à rendre l’invisible visible.

Qui comprend:

• Inventaire des types et versions de navigateurs
• Capture de la télémétrie dans le navigateur (pas seulement les journaux de trafic)
• Voir ce que les utilisateurs copient, collent et téléchargent
• Faire émerger l'utilisation fantôme du SaaS et de la GenAI avant qu'elle ne crée une exposition

Nous entendons souvent des équipes penser qu'elles disposent déjà de cette visibilité grâce à CASB ou SWG. Or, ces outils n'ont pas été conçus pour le navigateur lui-même. Ils fonctionnent autour de lui, et non à l'intérieur.

C’est à ce stade que la maturité commence et que la plupart des équipes de sécurité réalisent enfin à quel point l’écart est profond.

Étape 2 : Contrôle et application

Une fois que vous pouvez voir le risque, la question suivante est : Peux-tu l'arrêter ?

Dans cette phase, l’accent est mis sur la gestion active du comportement basé sur le navigateur, sans transformer le navigateur en une zone morte de productivité.

Le guide décrit les principales stratégies d’application de la loi, telles que :

• Blocage des téléchargements/téléchargements entre des applications spécifiques et des destinations non fiables
• Contrôler ou supprimer les extensions de navigateur à risque
• Application de règles de session tenant compte de l'identité (par exemple, arrêt de l'accès personnel à Gmail dans un onglet d'entreprise)
• Interception de copier/coller de données sensibles
• Alerter les utilisateurs en temps réel avant toute action risquée

L'essentiel ici est le timing. La plupart des contrôles traditionnels agissent après l'événement, après l'envoi du fichier, après l'exposition des données.

L'application native du navigateur signifie arrêter l'action au moment. Avant le collage. Avant le téléchargement. Avant la violation.

C'est là que le jeu change.

Étape 3 : Intégration et convivialité

C’est là que la sécurité devient mature, utilisable et durable.

À ce stade, les contrôles de la couche navigateur ne sont plus cloisonnés. Ils alimentent les politiques SIEM, XDR, IAM et ZTNA. Ils influencent les scores de risque et déclenchent une réponse automatisée aux incidents. Ils prennent en charge deux profils pour séparer la navigation personnelle de la navigation professionnelle. Ils couvrent les sous-traitants, les appareils non gérés et les utilisateurs tiers, à grande échelle.

Plus important encore, ils font tout cela sans ralentir les gens.

Chez LayerX, nous avons constaté que les équipes les plus performantes traitent le navigateur comme un plan de contrôle, et non comme une boîte noire. Elles l'intègrent à leur architecture de sécurité globale, et non comme un ajout.

Et il fonctionne.

Nous avons vu des entreprises détecter et bloquer une fuite d'invite GenAI en temps réel. Empêcher une extension malveillante de collecter des identifiants. Bloquer l'utilisation d'applications non autorisées, le tout sans perturber les flux de travail.

GenAI : le test de résistance du dernier kilomètre

Si le risque lié au navigateur n’était pas déjà évident, GenAI l’a rendu inévitable.

Les employés collent les dossiers clients, le code source, les plans stratégiques dans des LLM comme ChatGPT et Bard, sans aucune politique, protection ou même sensibilisation.

D'après le guide, 65 % des organisations n’ont aucun contrôle sur les données qui alimentent les outils GenAI. Et comme les invites ressemblent à des frappes de touches, et non à des fichiers, la protection DLP traditionnelle ne peut pas les arrêter. Les invites sont essentiellement des appels d'API non autorisés, sans piste d'audit.

Cela signifie que GenAI n'est pas seulement un risque. C'est un effondrement de la visibilité. Et le navigateur est le seul point d’application logique.

Le modèle de maturité aborde ce problème de front, en montrant exactement comment détecter et arrêter les interactions GenAI risquées au point d'utilisation, et non après que les données ont déjà disparu.

Qu'est-ce qui fait fonctionner ce modèle

Ce que nous apprécions dans ce guide, c'est qu'il n'est pas théorique. Il est pratique.

Il donne aux équipes :

• Des indicateurs clairs pour évaluer leur situation actuelle
• Tactiques pour des gains rapides (comme la télémétrie en mode audit, la découverte d'extensions)
• Une feuille de route progressive pour atteindre la pleine maturité
• Guide de déploiement tenant compte de la gestion du changement et de l'alignement des parties prenantes

Et peut-être plus important encore, il ne vous demande pas de détruire et de remplacer ce que vous avez déjà construit.

Vous n'avez pas besoin d'abandonner votre déploiement SSE ou votre stratégie DLP. Il vous suffit de les étendre à la couche invisible.

La nouvelle couche de contrôle

Nous pensons que ce guide devrait être une lecture obligatoire pour tout RSSI confronté à des risques SaaS, BYOD ou GenAI.

Cela confirme ce que nous avons constaté en première ligne : le navigateur n'est plus seulement un lieu de travail. C'est là que commence l'exposition des données. Et si vos contrôles ne s'étendent pas à cette couche, votre programme de sécurité s'arrête prématurément.

Que vous commenciez tout juste à auditer les extensions ou que vous vous dirigiez vers une application complète des politiques natives du navigateur, ce cadre vous aide à le faire de manière stratégique et à communiquer vos progrès à la direction.

Vous ne pouvez pas sécuriser ce que vous ne voyez pas

L'architecture de sécurité a évolué pour protéger l'emplacement des données. Mais pour protéger l'endroit où elles se déplacent, copient, collent, invitent et téléchargent, nous devons repenser le dernier kilomètre.

Ce guide montre comment procéder.

Téléchargez le guide de maturité du navigateur d'entreprise sécurisé

• Partagez :