Les acteurs de la sécurité ont pris conscience que le rôle prédominant que joue le navigateur dans l’environnement d’entreprise moderne nécessite une réévaluation de la façon dont il est géré et protégé. Alors qu’il n’y a pas si longtemps les risques véhiculés par le Web étaient encore traités par une mosaïque de solutions de points de terminaison, de réseau et de cloud, il est désormais clair que la protection partielle fournie par ces solutions n’est plus suffisante. Par conséquent, de plus en plus d’équipes de sécurité se tournent désormais vers la catégorie émergente des navigateurs d’entreprise spécialement conçus pour répondre aux défis de sécurité des navigateurs.
Cependant, comme cette catégorie de solutions de sécurité est encore relativement nouvelle, il n’existe pas encore d’ensemble établi de bonnes pratiques en matière de sécurité des navigateurs, ni de critères d’évaluation communs.
LayerX, l’extension de navigateur User-First Enterprise, répond aux besoins des équipes de sécurité avec le téléchargement Guide d’achat du navigateur d’entreprisequi guide ses lecteurs à travers les éléments essentiels pour choisir la meilleure solution et leur fournit une liste de contrôle exploitable à utiliser pendant le processus d’évaluation.
Le navigateur est l’interface de travail la plus importante et la surface d’attaque la plus ciblée
Le navigateur est devenu l’espace de travail central de l’entreprise moderne. En plus d’être la passerelle vers les applications SaaS sanctionnées et d’autres destinations Web non professionnelles, le navigateur est le point d’intersection entre les environnements cloud/web et les points de terminaison physiques ou virtuels. Cela fait du navigateur à la fois une cible pour plusieurs types d’attaques et une source potentielle de fuite de données involontaire.
Certaines de ces attaques existent depuis plus d’une décennie, par exemple en exploitant les vulnérabilités des navigateurs ou en téléchargeant des fichiers malveillants au volant. D’autres ont récemment pris de l’ampleur parallèlement à la forte augmentation de l’adoption du SaaS, comme les utilisateurs d’ingénierie sociale avec des pages Web de phishing. D’autres encore exploitent l’évolution de la technologie des pages Web pour lancer des modifications sophistiquées et difficiles à détecter et abuser des fonctionnalités du navigateur afin de capturer et d’exfiltrer des données sensibles.
Sécurité du navigateur 101 – Que devons-nous protéger ?
La sécurité du navigateur peut être divisée en deux groupes différents : la prévention de l’exposition involontaire des données et la protection contre divers types d’activités malveillantes.
Du point de vue de la protection des données, un navigateur d’entreprise applique des politiques qui garantissent que les données sensibles de l’entreprise ne sont pas partagées ou téléchargées de manière non sécurisée à partir d’applications sanctionnées, ni téléchargées depuis des appareils gérés vers des destinations Web non professionnelles.
Du point de vue de la protection contre les menaces, un navigateur d’entreprise détecte et prévient trois types d’attaques :
- Attaques qui ciblent le navigateur lui-même, dans le but de compromettre le périphérique hôte ou les données qui résident dans l’application de navigateur elle-même, telles que les cookies, les mots de passe et autres.
- Attaques qui utilisent le navigateur via des informations d’identification compromises pour accéder aux données d’entreprise qui résident dans des applications SaaS sanctionnées et non autorisées.
- Attaques qui exploitent la page Web moderne comme vecteur d’attaque pour cibler les mots de passe des utilisateurs, via un large éventail de méthodes de phishing ou via une modification malveillante des fonctionnalités du navigateur.
Comment choisir la bonne solution
Sur quoi devez-vous vous concentrer lorsque vous choisissez une solution de navigateur d’entreprise pour votre environnement ? Quelles sont les implications pratiques des différences entre les différentes offres ? Comment les méthodes de déploiement, l’architecture de la solution ou la confidentialité des utilisateurs doivent-elles être prises en compte dans la considération globale ? Comment les menaces et les risques doivent-ils être hiérarchisés ?
Comme nous l’avons déjà dit, contrairement à d’autres solutions de sécurité, vous ne pouvez pas simplement envoyer une requête ping à un de vos pairs et lui demander ce qu’il fait. Les navigateurs d’entreprise sont nouveaux et la sagesse du grand public n’a pas encore été formée. En fait, il y a de fortes chances que vos pairs soient désormais confrontés aux mêmes questions que vous.
Le guide de l’acheteur du navigateur Definitive Enterprise – Qu’est-ce que c’est et comment l’utiliser
Le guide de l’acheteur (Télécharger les ici) décompose le titre de haut niveau « sécurité du navigateur » en petits morceaux compréhensibles des besoins concrets qui doivent être résolus. Ceux-ci sont présentés au lecteur selon cinq piliers : déploiement, expérience utilisateur, fonctionnalités de sécurité et confidentialité des utilisateurs. Pour chaque pilier, il existe une brève description du contexte de son navigateur et une explication plus détaillée de ses capacités.
Le pilier le plus important, en termes de portée, est bien entendu celui des fonctionnalités de sécurité, qui est divisé en cinq sous-sections. Puisque, dans la plupart des cas, ce pilier serait le premier moteur de la recherche d’une plate-forme de sécurité des navigateurs, il vaut la peine de les examiner plus en détail :
Présentation approfondie du navigateur d’entreprise
Le besoin d’un navigateur d’entreprise découle généralement de l’un des éléments suivants :
- Gestion de la surface d’attaque : Réduction proactive de l’exposition du navigateur à divers types de menaces, éliminant la capacité des adversaires à les exécuter.
- Accès zéro confiance : Renforcer les exigences d’authentification pour garantir que le nom d’utilisateur et le mot de passe ont bien été fournis par l’utilisateur légitime et n’ont pas été compromis.
- Surveillance et protection SaaS : Visibilité à 360° sur l’activité et l’utilisation des données de tous les utilisateurs dans les applications autorisées et non autorisées, ainsi que sur d’autres destinations Web non professionnelles, tout en protégeant les données de l’entreprise contre toute compromission ou perte.
- Protection contre les pages Web malveillantes : Détection et prévention en temps réel de toutes les tactiques malveillantes intégrées par les adversaires dans les pages Web modernes, notamment le phishing d’identifiants, le téléchargement de fichiers malveillants et le vol de données.
- Accès tiers sécurisé et BYOD : Activation d’un accès sécurisé aux ressources Web de l’entreprise à partir d’appareils non gérés du personnel interne ainsi que des sous-traitants et prestataires de services externes.
Cette liste permet à quiconque d’identifier facilement l’objectif de sa recherche dans le navigateur d’entreprise et de découvrir les fonctionnalités requises pour l’atteindre.
Le guide de l’acheteur – Un raccourci d’évaluation simple
La partie la plus importante et la plus pratique du guide est la liste de contrôle finale, qui fournit, pour la première fois, un résumé concis de toutes les fonctionnalités essentielles qu’un navigateur d’entreprise devrait offrir. Cette liste de contrôle rend le processus d’évaluation plus facile que jamais. Tout ce que vous avez à faire maintenant est de tester les solutions que vous avez présélectionnées et de voir laquelle obtient le score le plus élevé. Une fois que vous les avez tous alignés, vous pouvez prendre une décision éclairée en fonction des besoins de votre environnement, tels que vous les comprenez.
Téléchargez le guide de l’acheteur ici.