L’acquisition ajoute des contrôles de navigateur au Zero Trust Exchange de Zscaler pour se protéger contre le phishing, les fuites de données et les risques d’IA.
La société de sécurité cloud Zscaler a annoncé l’acquisition de SquareX, une startup technologique de détection et de réponse de navigateur (BDR) basée à Singapour. L’accord permettra à Zscaler d’étendre ses capacités Zero Trust Exchange directement aux navigateurs Web standards, sur les appareils gérés et non gérés.
Avec Zscaler Private Access (ZPA), la société aide les entreprises à adopter une architecture Zero Trust à l’aide d’un agent léger. L’acquisition de SquareX devrait renforcer encore la capacité de Zscaler à assurer la sécurité directement dans les navigateurs couramment utilisés grâce à des extensions légères, éliminant ainsi le besoin d’un navigateur d’entreprise distinct.
L’acquisition contribuera à permettre une sécurité et une protection de type posture contre les attaques avancées de spear phishing et basées sur l’identité directement dans le flux de travail existant de l’utilisateur, a déclaré Jay Chaudhry, PDG, président et fondateur de Zscaler, dans son message sur LinkedIn.
Les navigateurs, la nouvelle frontière des attaques
Traditionnellement traités comme une simple passerelle vers Internet, les navigateurs Web sont désormais au centre de l’activité des entreprises, étant largement utilisés pour les applications SaaS, les services cloud et, de plus en plus, pour les outils d’IA générative. Alors que les employés téléchargent, copient et partagent des données sensibles via des sessions de navigateur, cette dépendance croissante a également ouvert de nouvelles voies en matière de risques de sécurité.
« La plupart des piles de sécurité protègent soit l’application, soit le point final, soit le réseau. Le navigateur est malheureusement le point mort entre les deux. Il existe des méthodes traditionnelles pour résoudre le problème, mais elles comportent souvent de trop grands risques ou résultent d’une approche trop restrictive », a déclaré Devroop Dhar, co-fondateur et directeur général de Primus Partners.
SquareX aide en permettant à n’importe quel navigateur sur n’importe quel appareil de fonctionner davantage comme un navigateur d’entreprise sécurisé en utilisant une approche légère basée sur des extensions. « Cette extension devient une sorte d’agent d’exécution, offrant des contrôles spécifiques à la session tels que le DLP basé sur le navigateur, l’isolation dynamique du contenu, la surveillance en temps réel du comportement des utilisateurs et l’application ciblée de la sécurité en fonction des niveaux de risque et du contexte de la session », a déclaré Sanchit Vir Gogia, PDG et analyste en chef chez Greyhound Research.
L’approche de SquareX empêche également le collage de données sensibles dans des outils publics d’IA, signale les invites suspectes ou limite les interactions en fonction du rôle de l’utilisateur et de la sensibilité des données, a déclaré Dhar. C’est très important car l’utilisation abusive de l’IA est rarement malveillante, elle est accidentelle. La sécurité native du navigateur est mieux adaptée pour éviter les erreurs avant qu’elles ne se transforment en incidents.
La sécurité basée sur l’extension SquareX peut être intégrée aux navigateurs Web les plus couramment utilisés, notamment Chrome, Edge, Firefox et Safari, permettant aux employés de continuer à utiliser leur navigateur préféré sans obliger les entreprises à déployer ou à gérer un autre outil de sécurité dédié.
Un gagnant-gagnant pour les clients ?
Zscaler a reconnu que le comportement d’exécution du navigateur était une pièce manquante dans sa sécurité zéro confiance, et avoir la solution SquareX dans son portefeuille peut aider à combler cette lacune, a noté Gogia.
Pour les clients de Zscaler, cette acquisition signifierait que la sécurité du navigateur n’est plus une réflexion secondaire ou un outil distinct à évaluer, mais une partie native de la plateforme.
« Cela réduit le recours aux méthodes d’accès traditionnelles telles que VPN et VDI, en particulier pour les utilisateurs externes. Cela donne également à Zscaler la possibilité d’unifier l’application des politiques en matière d’accès au réseau, d’utilisation des applications et désormais de comportement du navigateur. Les clients de Zscaler pourront appliquer des contrôles en session à des activités qui étaient auparavant invisibles, telles que les actions du presse-papiers, le comportement des extensions ou la soumission d’invites d’IA. Ils bénéficient également d’options d’isolation de session, d’inspection de téléchargement de fichiers et d’accès aux applications avec le moindre privilège via le navigateur », a ajouté Gogia.
D’un autre côté, pour les clients SquareX, cela signifie évolutivité et intégration. Vivek Ramachandran, fondateur et PDG de SquareX, a confirmé dans un article de blog que les déploiements et les investissements des clients seront protégés et qu’au fil du temps, ils bénéficieront d’une intégration plus étroite avec les services Zscaler, d’analyses étendues et de contrôles plus robustes et basés sur les risques sur les appareils gérés et non gérés.
Dans les deux cas, le client bénéficie d’un meilleur alignement entre les approches d’accès, de comportement et d’application, a déclaré Dhar.
Différentes voies vers la sécurité du navigateur
Dernièrement, les principales sociétés de cybersécurité ont renforcé leur portefeuille de produits en investissant et en acquérant des sociétés spécialisées dans la sécurité des navigateurs. Cela indique qu’ils considèrent désormais la sécurité native du navigateur comme stratégique plutôt que facultative. Par exemple, en janvier de cette année, CrowdStrike a acquis Seraphic Security, une société israélienne de sécurité d’exécution de navigateur, qu’elle prévoit d’intégrer à la plate-forme Falcon.
Pour les RSSI, la préoccupation s’est déplacée de la sécurité du navigateur vers l’endroit où la sécurité du navigateur devrait se situer. Dhar a expliqué que dans le cas du déménagement de Zscaler avec SquareX, la stratégie consiste à intégrer les contrôles du navigateur avec son composant d’accès Zscaler Zero Trust. C’est la sécurité au-delà de l’octroi de l’accès. Cependant, dans le cas de l’acquisition par CrowdStrike de Seraphic, la stratégie relève de la sécurité des points finaux car ils étendent la visibilité des solutions EDR pour inclure le navigateur.
