Google a déployé plusieurs fonctions supplémentaires pour les utilisateurs professionnels de son navigateur Chrome, notamment la prévention des pertes de données (DLP), des protections contre les logiciels malveillants et le phishing, ainsi que la possibilité d'activer un accès zero trust au moteur de recherche. Au total, Google a mis en avant six fonctions pour Chrome, dont trois sont spécifiques aux capacités DLP existantes du navigateur. Une fonction « context-aware », qui s'adresse aux administrateurs d'entreprise, leur donne les moyens de personnaliser les règles DLP en fonction du niveau de sécurité du terminal utilisé. Par exemple, ils peuvent autoriser les utilisateurs à télécharger des documents sensibles s'ils y accèdent à partir d'un système à jour d’un point de vue sécurité ou si un logiciel de protection est bien installé dessus.
Cette fonction contextuelle empêchera les utilisateurs de télécharger des documents sensibles sur des terminaux personnels ou d'entreprise qui ne répond pas à des critères de sécurité déterminés. Le filtrage d'URL est une autre fonction de DLP qui pourra aussi bloquer ou avertir les employés lorsqu'ils visitent des sites web ou des catégories de sites web qui ne respectent pas les règles d'usage de l'entreprise.
La fonction de filtrage d'URL de Google permet de bloquer ou d'avertir les employés des sites Web qui enfreignent les règles de l'entreprise. (Crédit : Google)
« Vous pouvez également restreindre l'accès, par exemple en empêchant les utilisateurs de visiter des sites de partage de fichiers populaires, tout en autorisant le partage de fichiers via le site de partage de fichiers de votre entreprise », explique Google dans un billet de blog.
Les extensions de navigateur pour prévenir tout risque
La firme a également annoncé deux extensions supplémentaires pour évaluer les risques dans Chrome. Les extensions de navigateur peuvent être dangereuses pour les utilisateurs en faisant accepter des autorisations qui ne sont pas conformes aux règles de l'entreprise. Selon Google, les outils CRXcavator et Spin.AI Risk Assessment de Chrome peuvent les évaluer pour minimiser les risques associés. « Nous rendons les scores des extensions via ces deux plateformes disponibles directement dans Chrome Browser Cloud Management, afin que les équipes de sécurité puissent avoir une vue d'ensemble des scores de risque des extensions utilisées dans leur environnement de navigation », a déclaré Google dans son annonce.
En mettant en œuvre un DLP avancé et en obtenant plus de visibilité sur la sécurité des extensions et les événements de sécurité critiques, les entreprises peuvent identifier les menaces et les vulnérabilités potentielles avant qu'elles ne soient exploitées, réduire le risque de perte de données et adopter une approche plus proactive de la cybersécurité. L'éditeur a également ajouté deux add-on de notifications d'événements de sécurité disponibles pour installation sur Chrome. Le premier, dédié à son installation, alerte les équipes informatiques et de sécurité afin de suivre leur usage. La seconde extension alerte ces mêmes équipes lorsqu'un navigateur se bloque sur un terminal, ce qui peut les aider à mener leurs investigations.
Les dernières fonctionnalités de sécurité de Google Chrome. (Crédit : Google)
Plus de services de sécurité dans les navigateurs d’entreprise
« L'impact est important car le navigateur représente un nouveau vecteur de sécurité pour les entreprises », a déclaré Dan Ayoub, analyste principal au Gartner. « Il étend les services de sécurité à l'edge pour résoudre de nombreux problèmes concrets que les solutions existantes peuvent avoir aujourd'hui, comme la fourniture d'un accès à partir d'appareils non gérés ». Le cabinet d'études américain s'attend à ce qu'un nombre croissant de services de sécurité soient fournis par le biais de navigateurs d'entreprise et d'extensions au cours du reste de la décennie, selon le cabinet d'études Gartner.
« Cela créera à terme une expérience de travail hybride transparente où les navigateurs deviendront la plateforme principale par laquelle les logiciels de productivité et de sécurité des employés seront fournis aux systèmes gérés et non gérés », affirme-t-il. Michael Suby, vice-président de la recherche pour le service de sécurité et de confiance d'IDC, a indiqué de son côté que le ciblage des cyberattaques par Google est approprié, car les navigateurs sont aussi vulnérables que n'importe quelle application située au-dessus du système d'exploitation. Toutefois, les fonctionnalités supplémentaires risquent de poser un problème à de nombreuses sociétés.
La multiplication des outils de sécurité, bonne ou mauvaise idée ?
Il existe déjà des navigateurs tiers spécialement conçus pour les entreprises et dotés de fonctions de sécurité similaires à celles annoncées par Chrome. Par exemple, Island.io et Talon Cyber Security sont deux des navigateurs d'entreprise les plus populaires. « Comment fusionner ce qu'ils me donnent avec ce que j'ai déjà ? » a déclaré M. Suby. En outre, de nombreuses applications d'entreprise intègrent déjà des fonctions de sécurité. « Il s'agit d'ajouter un autre outil de politique qui doit être géré. C'est bien beau d'avoir ces nouvelles fonctionnalités dans Chrome, et en soi, elles peuvent être intuitives à utiliser, mais elles ne font que s'ajouter à ce que vous avez déjà », a déclaré M. Suby. « Cela ne veut pas dire qu'elles ne sont pas utiles, mais j'ai maintenant quelque chose de plus à gérer ».
Qui va gérer et contrôler ces fonctionnalités et décider lesquelles l'entreprise doit utiliser ? « Est-ce que je gère les politiques de sécurité sur les applications ? Dans quel environnement dois-je appliquer les politiques ? », interroge M. Suby. Un autre problème est qu'il n'existe actuellement aucune entreprise tierce qui teste de manière indépendante les capacités de sécurité des navigateurs. Certes on trouve des logiciels antivirus tels que AV-Comparatives et d'évaluation de la protection des endpoints telles que Mitre Engenuity, mais aucun pour sécuriser les navigateurs, a déclaré M. Suby. « C'est une bonne direction que prend [Google], il n'y a rien de mal à cela » poursuit-il avant de conclure : « Ils voient un problème et essaient d'aider les entreprises à le résoudre. Mais ce faisant, nous avons créé une série de problèmes sous-jacents ».