Le périmètre de sécurité d’entreprise évolue depuis un certain temps, mais d’ici 2026, il sera évident que le lieu central d’intervention est le navigateur. C’est là que s’effectuent le travail, l’accès aux applications SaaS, la gestion des identités, le partage de documents… et de plus en plus, la conversation avec des outils d’Intelligence Artificielle. Cependant, cet environnement devient également un terrain propice aux attaques : extensions malveillantes, scripts injectés, usurpations lors de sessions en cours et fuites de données qui échappent souvent aux contrôles classiques.
Dans ce contexte, Zscaler a annoncé l’acquisition de SquareX, une opération conclue le 5 février 2026, dont les modalités financières n’ont pas été rendues publiques. L’objectif déclaré est d’étendre les capacités de Zero Trust « jusqu’au navigateur », avec une approche adaptée à un monde où le travail ne se limite plus aux appareils d’entreprise et où l’utilisation de l’IA multiplie les surfaces d’exposition.
Le navigateur comme « zone chaude » de sécurité (et de productivité)
Depuis plusieurs années, de nombreuses organisations cherchent à renforcer la sécurité sur des appareils non gérés — BYOD, partenaires, sous-traitants, environnements hybrides — en recourant à deux solutions courantes : VPN d’accès à distance ou VDI. Le problème est que ces solutions entraînent des coûts, de la friction et, dans le cas du VPN, une « confiance implicite » difficile à concilier avec une stratégie moderne de moindre privilège.
Zscaler estime que ce modèle n’est plus adapté à une entreprise distribuée. Le navigateur doit être le point où l’on applique des politiques fines : qui accède, depuis quel appareil, avec quelle posture de sécurité, à quelle ressource précise et dans quelles conditions. La vision de Zscaler ne se limite pas à lutter contre les malwares : il s’agit de contrôler l’accès et de protéger les données là où le travail se produit réellement.
Que apporte SquareX à cette vision ?
SquareX a basé sa proposition sur une idée simple : si le navigateur est le lieu de concentration de l’activité, il faut y installer des « capteurs » intégrés. La société a développé des capacités de Browser Detection and Response (BDR) via des extensions, afin de détecter et de réagir face à des menaces « natives » du navigateur, comme les extensions malveillantes ou les scripts à comportement suspect, tout en fournissant une télémétrie exploitable pour les équipes de sécurité.
Après l’acquisition, SquareX insiste également sur un point souvent décisif dans le choix d’une solution IT : ne pas obliger à changer de navigateur. La compatibilité avec les navigateurs standards évite un « changement culturel » et réduit les coûts opérationnels liés au déploiement d’un navigateur d’entreprise alternatif à l’échelle de l’organisation. Par ailleurs, cela permet d’aborder la problématique majeure pour beaucoup d’entreprises : comment contrôler les accès et les données quand l’appareil n’est pas entièrement géré.
Une approche : « n’importe quel navigateur », mais avec des garde-fous
Cette annonce s’aligne sur une tendance claire du marché : faire remonter le modèle Zero Trust jusqu’au dernier segment, cette « dernière étape » où se croisent identité, session, contenu et actions utilisateur (téléchargements, copier/coller, upload de fichiers, interactions avec des outils d’IA, etc.).
Zscaler a précisé que, grâce à SquareX, il souhaite offrir une sécurité dans les navigateurs courants — sans déployer d’agent complet ni imposer l’utilisation de navigateurs tiers — pour protéger l’accès aux applications SaaS et internes, même depuis des appareils non gérés. Le message implicite est clair : réduire la dépendance au VDI et au VPN, sans pour autant renoncer au contrôle.
Pourquoi l’IA accélère cette évolution
L’essor de l’IA n’apporte pas seulement de nouveaux modèles et plus d’automatisation : il génère également de nouveaux flux de données. En pratique, nombre d’interactions avec l’IA se font via des interfaces web : prompts avec contexte sensible, résumés de documents internes, copier-coller de morceaux de code, recherches assistées, génération de contenu pouvant contenir des informations d’entreprise.
Dans ce contexte, le navigateur ne se limite plus à un simple client : il devient un « canal » de sortie de données. Il ne suffit plus de bloquer certains domaines ou de filtrer le trafic ; il devient essentiel de contrôler ce qui se passe dans la session, avec quels droits et selon quels signaux de risque. C’est pourquoi Zscaler place cette opération dans « l’ère de l’IA » et insiste sur la nécessité de renforcer le modèle Zero Trust au point où les interactions se produisent.
Une lecture pour l’IT et la sécurité : moins d’outils, plus de cohérence
Pour les équipes systèmes et sécurité, l’intérêt est la promesse de consolidation : mutualiser les contrôles d’accès, la posture des appareils et les politiques directement dans le navigateur, en particulier lorsque le parc d’endpoints inclut des portables d’entreprise, des appareils personnels ou des dispositifs « d’appoint ».
En d’autres termes : si le travail s’organise « autour du navigateur », la gouvernance doit aussi l’être, sans compromettre l’expérience utilisateur. Et si l’entreprise veut maîtriser l’utilisation de l’IA, elle doit établir des politiques concernant l’endroit où se font les prompts, les fichiers joints et les réponses : dans le navigateur.
Une course qui s’intensifie
Le message est clair : la « sécurité du navigateur » ne doit plus être marginale, mais intégrée à la stratégie Zero Trust, à l’accès aux applications et à la protection des données. Zscaler ne se contente pas d’acquérir une technologie ; il acquire une position stratégique pour rivaliser dans un espace où les frontières entre ZTNA, DLP, sécurité de session et contrôles spécifiques à l’IA se brouillent peu à peu.
Si cette opération atteint ses objectifs, le résultat serait un modèle où l’utilisateur conserve son navigateur, mais où l’organisation gagne en visibilité et en capacité de réponse face aux menaces et aux fuites de données, qui jusque-là pouvaient passer inaperçues. En 2026, avec l’intégration de l’IA dans tous les processus, ces « zones d’ombre » ne seront plus de simples risques opérationnels, mais de véritables enjeux de sécurité.
Questions fréquentes
Que signifie « sécurité Zero Trust sur le navigateur » dans une entreprise concrète ?
Appliquer des politiques d’accès et de protection des données basées sur l’identité, le contexte et le risque directement dans le navigateur, afin que la session web (SaaS et applications internes) soit contrôlée avec le minimum de privilèges et des signaux de sécurité pertinents.
En quoi cela se distingue-t-il d’un « navigateur d’entreprise » ou de l’utilisation du VDI ?
L’approche vise à préserver l’utilisation de navigateurs standards tout en y intégrant des contrôles via des extensions ou des intégrations, réduisant ainsi la friction et évitant le coût ou la latence liés au déploiement d’un navigateur d’entreprise ou à l’usage du VDI pour chaque accès.
Pourquoi cette solution est-elle importante pour BYOD et appareils non gérés ?
Parce que le véritable défi du BYOD ne concerne pas seulement l’accès, mais surtout le « dernier kilomètre » : téléchargements, uploads, copier/coller, contrôle des données en session. C’est dans ce domaine que la focalisation sur le navigateur peut faire toute la différence.
Que doit vérifier l’IT avant de déployer des extensions de sécurité dans les navigateurs ?
Compatibilité avec les navigateurs et applications critiques, impact sur la performance, modalités de gestion (politiques, mises à jour, télémétrie), expérience utilisateur, et intégration des événements dans le SOC (SIEM/SOAR) pour la réponse et la traçabilité.
Sources : zscaler
