De plus en plus de décideurs en matière de sécurité se rendent compte que le navigateur constitue la première ligne de front contre les multiples cybermenaces. Cette idée les a amenés à ajouter des solutions d’isolation du navigateur à leurs piles de sécurité. Cependant, nous avons récemment assisté à une tendance croissante des professionnels de la sécurité à s'éloigner de ces solutions et à se tourner vers les extensions de navigateur sécurisé. Ces solutions plus récentes sont perçues comme une meilleure alternative pour sécuriser la surface d’attaque du navigateur.

Dans cet article, nous analyserons cette tendance et tenterons d'expliquer la justification de cette approche. Tout d’abord, nous passerons en revue les différentes fonctionnalités offertes par chaque approche. Nous montrerons ensuite qu'une extension de navigateur sécurisée répond à un éventail beaucoup plus large de menaces véhiculées par le Web. Elle permet aux travailleurs modernes d'exploiter pleinement le potentiel de productivité de leurs navigateurs, alors que l'approche d'isolation des navigateurs est bien plus limitée dans sa couverture des risques. L’isolation du navigateur dégrade également l’expérience utilisateur de navigation d’une manière qui la rend incompatible avec l’environnement de travail moderne orienté navigateur. 

Commençons par un bref récapitulatif de ce qu'est l'isolation du navigateur et de son fonctionnement.

Isolation du navigateur 101 : protection hermétique contre les menaces liées aux points de terminaison

Les solutions d'isolation du navigateur fournissent un environnement virtuel dans lequel les navigateurs peuvent s'exécuter. Cela signifie que le code téléchargé n'est pas autorisé à s'exécuter sur la machine réelle avant que la solution n'examine son comportement et ne s'assure qu'il est effectivement inoffensif. Cette approche est extrêmement efficace pour atténuer l’impact des exploits du navigateur et du téléchargement de fichiers malveillants. Même si l’exploitation a réussi et que le malware a été téléchargé, aucun d’eux n’atteint la machine réelle.

Il est facile de voir qu'en termes de proposition de valeur directe, l'isolation du navigateur est une progression naturelle de la protection traditionnelle des points de terminaison. Le concept consistant à disposer d'un bac à sable local, ou même d'une machine virtuelle spécialement créée, pour l'exécution sécurisée de processus sujets aux exploits, a été mis en œuvre sous diverses formes au cours de la dernière décennie. Cela a fait de l'adoption de l'isolation du navigateur une étape naturelle de « défense en profondeur » pour renforcer la protection EDR\NGAV existante. 

L'espace de travail d'aujourd'hui n'est plus le point de terminaison mais le navigateur lui-même 

Cependant, au fil du temps, les organisations ont réalisé que cette approche n’était peut-être pas suffisante. Cela est dû à deux raisons principales :

  • La consommation de ressources: Toutes les solutions sandbox, y compris l'isolation du navigateur, sont tristement connues pour leur consommation gourmande en CPU, ce qui dégrade inévitablement les performances de la machine protégée. En fait, c’est la principale raison pour laquelle cette approche a été abandonnée par les principaux fournisseurs de protection des terminaux.
  • Couverture partielle: Même si l'isolation du navigateur offre une protection solide contre les menaces liées aux terminaux, elle offre peu ou pas de protection contre le vaste paysage des risques véhiculés par le Web. 

Développons un peu plus le sujet.

L'isolation du navigateur peine à relever les défis de sécurité et de productivité de l'entreprise Web moderne 

Il y a dix ans, les employés travaillaient principalement avec des fichiers de données sur l'hôte local. Mais aujourd’hui, le navigateur est devenu l’espace de travail prédominant dans l’environnement d’entreprise. Ce changement s'est produit conformément aux navigateurs modernes offrant un large éventail de fonctionnalités de sécurité, ainsi qu'un engagement sans faille envers l'expérience utilisateur. Le déploiement d'une solution d'isolation du navigateur crée une charge sur les ressources de la machine, ce qui entraîne directement une baisse des performances du navigateur. L’une des règles empiriques essentielles est que tout contrôle de sécurité qui empêche les employés de faire leur travail sera désactivé tôt ou tard. C’est ce qui arrive aujourd’hui aux solutions d’isolation des navigateurs.

De plus, les risques véhiculés par le Web correspondent à tout type de menace émise par le navigateur : phishing et autres types de pages Web malveillantes, accès malveillant aux applications SaaS via des informations d'identification compromises et fuite de données basées sur le navigateur. Cependant, Les solutions d'isolation du navigateur n'ont qu'une visibilité partielle et limitée sur le contenu des pages Web. Leur visibilité sur les applications SaaS est limitée à une découverte de base au niveau du nom d'hôte, sans aucune information sur l'identité de l'utilisateur ou son utilisation réelle. En termes de surveillance du comportement réel de la page Web elle-même, ils n'ont de visibilité que sur le code HTML pré-rendu. Et en termes d'application, les solutions d'isolation des navigateurs manquent de granularité configurable. Ils se limitent à des contrôles rudimentaires, comme la désactivation d'un événement de navigation tel que le collage ou la capture d'écran sur chaque destination ou application, ce qui les rend inefficaces en raison de la perturbation de la productivité qu'ils entraînent. 

Le problème est que ces risques véhiculés par le Web deviennent de plus en plus une partie dominante du paysage des menaces des entreprises. Et même si les solutions d’isolation des navigateurs peuvent exceller contre les exploits de logiciels malveillants, elles n’offrent pas grand-chose contre un large éventail d’attaques que les organisations ne peuvent plus se permettre d’ignorer.

Contrairement à ces solutions, l’approche d’extension de navigateur sécurisée répond pleinement à ces menaces. Comprenons pourquoi :

Extension de navigateur sécurisé 101 : inspection approfondie de chaque événement de navigation

Les extensions de navigateur sécurisées sont installées par-dessus un navigateur commercial, comme toute autre extension. Depuis l'emplacement de leur navigateur, ils bénéficient d'une visibilité et d'un contrôle granulaires sur chaque événement au cours de la session de navigation. Cela leur permet de fournir une surveillance continue, une analyse des risques et une application des politiques tout au long de la session Web, en fonction du comportement de l'utilisateur lui-même ainsi que de la page Web visitée.

Cette approche est extrêmement efficace pour prévenir les menaces véhiculées par le Web de la manière suivante :

Extension de navigateur sécurisée contre le phishing et autres pages Web malveillantes 

Les extensions de navigateur sécurisées ont une visibilité sur la page Web affichée au fur et à mesure qu'elle se construit progressivement dans le navigateur. Forts de cette visibilité, ils peuvent détecter les premiers signes de phishing, de téléchargement de logiciels malveillants et de capture de données malveillantes. Lors de la détection de ces signes, l'extension de navigateur sécurisée peut soit mettre fin complètement à la session, soit désactiver le risque au sein de la page elle-même.

Extension de navigateur sécurisée contre accès malveillant aux applications SaaS et Web 

De la même manière, une extension de navigateur sécurisée a une visibilité sur la page Web, elle a également une visibilité sur l'utilisateur et son activité. Grâce à cette visibilité, il peut surveiller en permanence le comportement de l'utilisateur dans les applications SaaS, profiler son comportement de base, détecter tout écart par rapport à ce comportement pouvant impliquer une prise de contrôle du compte et, lors d'une telle détection, empêcher l'utilisateur d'accéder à l'application.

Extension de navigateur sécurisée et fuite de données basée sur le navigateur

La visibilité de l'extension de navigateur sécurisée sur chaque événement de navigation la rend extrêmement efficace contre les fuites de données. Les actions telles que « partager », « télécharger » ou « capture d'écran » peuvent être limitées ou interdites. De la même manière, le collage ou la saisie d'informations sensibles dans les outils GenAI, tels que ChatGPT, peut être facilement contrôlé et évité (en savoir plus sur la véritable exposition des données de GenAI). sur ce dernier rapport).

La justification : protéger la surface d'attaque exposée du navigateur plutôt que de renforcer la protection existante des points de terminaison.

Il est facile de comprendre le raisonnement qui sous-tend le passage de l’isolation du navigateur aux extensions de navigateur sécurisées. La plupart des organisations n'installeront pas plus d'une solution de sécurité sur leur navigateur. Lors du choix de la solution, il est plus logique d’en choisir une qui répond à un large éventail de menaces actuellement ignorées, plutôt que d’ajouter une autre couche de protection des points finaux. 

Il est vrai que les extensions de navigateur sécurisées offrent moins de protection contre les exploits du jour zéro que les outils d'isolation de navigateur. Il convient toutefois de noter que ces exploits deviennent un phénomène plutôt rare. Même lorsqu'ils surviennent, ils sont après tout assez couverts par les solutions EDR\NGAV actuelles. Tout se résume à choisir entre une solution à une lacune existante et une précaution supplémentaire contre une menace déjà largement couverte. C'est vraiment une évidence.