Zscaler a annoncé le rachat de SquareX, une start-up singapourienne spécialisée dans les technologies de détection et de réponse à incident sur les navigateurs (BDR, browser detection and response). Cette acquisition donne au fournisseur de solutions de sécurité cloud la possibilité d'étendre les capacités de sa plateforme Zero Trust Exchange directement aux navigateurs web standard et sur tous les terminaux, managés ou non. Avec Private Access, la société aide déjà les entreprises à adopter une architecture zero trust à l'aide d'un agent léger, mais SquareX vient renforcer la sécurité des navigateurs couramment utilisés grâce à des extensions légères, éliminant ainsi le besoin d'un browser d'entreprise distinct. L'objectif de l'éditeur est d'améliorer son offre en posture de sécurité et protection contre les attaques avancées (spear-phishing et usurpation d'identité en particulier) directement dans le flux de travail existant de l'utilisateur, selon Jay Chaudhry, CEO et fondateur de Zscaler, dans un message.

Traditionnellement considérés comme de simples passerelles vers Internet, les navigateurs web sont au cœur de l'activité des entreprises, largement utilisés pour les applications SaaS, les services cloud et, de plus en plus, pour les outils GenAI. Alors que les employés téléchargent, copient et partagent des données sensibles via des sessions de navigation, cette dépendance croissante a également ouvert la voie à des risques de sécurité supplémentaires. « La plupart des piles de sécurité protègent soit l'application, soit le terminal, soit le réseau. Le navigateur est malheureusement l'angle mort entre les deux. Il existe des moyens traditionnels de traiter ce problème, mais ils comportent souvent un risque trop important ou résultent d'une approche trop restrictive », a expliqué Devroop Dhar, cofondateur et directeur général de Primus Partners. SquareX permet à n'importe quel navigateur sur n'importe quel système de fonctionner davantage comme un navigateur d'entreprise sécurisé en devenant « une sorte d'agent d'exécution à la volée, apportant des contrôles spécifiques à la session tels que la prévention des pertes de données (DLP), l'isolation dynamique du contenu, la surveillance en temps réel du comportement des utilisateurs et l'application ciblée de la sécurité en fonction des niveaux de risque et du contexte de la session », explique Sanchit Vir Gogia, CEO et analyste en chef chez Greyhound Research.

Un rachat gagnant-gagnant pour les clients ?

L'approche de SquareX empêche d'injecter des données sensibles dans les outils IA publics, de signaler les prompts suspects et limite les interactions en fonction du rôle de l'utilisateur et de la sensibilité des données, indique M. Dhar. Cela est d'autant plus important que le mauvais usage de l'IA est rarement malveillant, mais plutôt accidentel : la sécurité native du navigateur apparait ainsi mieux adaptée pour prévenir les erreurs avant qu'elles ne se transforment en incidents. La technologie de SquareX peut être intégrée à la plupart des navigateurs web couramment utilisés, notamment Chrome, Edge, Firefox et Safari. Les employés peuvent ainsi continuer à utiliser ceux qu'ils préfèrent sans que les entreprises aient à déployer ou à gérer un autre outil de sécurité dédié.

Zscaler a reconnu que le comportement d'exécution du navigateur était une pièce manquante en matière de sécurité, et le fait d'avoir la solution SquareX dans son portefeuille peut aider à combler cette lacune, note M. Gogia. Pour les clients de la société, cette acquisition signifie que la sécurité du navigateur n'est plus une réflexion après coup ou un outil distinct à évaluer, mais une partie intégrante de la plateforme. « Cela réduit la dépendance à l'égard des méthodes d'accès traditionnelles telles que le VPN et le VDI, en particulier pour les utilisateurs externes. Elle permet également à Zscaler d'unifier l'application des politiques en matière d'accès au réseau, d'utilisation des applications et, désormais, de comportement du navigateur. Les clients de Zscaler pourront appliquer des contrôles en cours de session à des activités qui étaient auparavant invisibles, telles que les actions copier-coller du presse-papiers, le comportement des extensions ou la soumission de messages de prompts par l'IA. Ils bénéficieront également d'options d'isolation des sessions, d'inspection des téléchargements de fichiers et d'accès aux applications à moindre privilèges via le navigateur », a ajouté M. Gogia. D'autre part, pour les clients de SquareX, cela signifie évolutivité et intégration. Vivek Ramachandran, fondateur et CEO de SquareX, a confirmé dans un billet de blog que les clients bénéficieront d'une intégration plus étroite avec les services Zscaler, d'analyses étendues et de contrôles plus robustes, basés sur les risques, sur les terminaux managés ou non. Dans les deux cas, le client bénéficie d'une meilleure harmonisation entre les approches en matière d'accès, de comportement et d'application, a fait savoir M. Dhar.

Différentes voies pour sécuriser les navigateurs

Ces derniers temps, les grandes entreprises de cybersécurité ont renforcé leur portefeuille de produits en investissant dans des sociétés spécialisées dans la sécurité des navigateurs et en les rachetant. Cela montre qu'elles considèrent désormais la sécurité native des navigateurs comme un élément stratégique plutôt que facultatif. Par exemple, en janvier dernier, CrowdStrike a racheté la société israélienne Seraphic Security, spécialisée dans la sécurité des navigateurs, qu'elle prévoit d'intégrer à la plateforme Falcon.

Pour les RSSI, la préoccupation est passée de la sécurité du navigateur à l'emplacement où celle-ci doit être assurée. M. Dhar a expliqué que dans le cas de l'opération de Zscaler avec SquareX, la stratégie consiste à intégrer les contrôles du navigateur à la composante d'accès zero trust de Zscaler. Il s'agit d'une sécurité qui va au-delà de l'octroi d'un accès. Cependant, dans le cas de l'acquisition de Seraphic par CrowdStrike, la stratégie relève de la sécurité des terminaux, car elle étend la visibilité des solutions EDR au navigateur.