La sécurité Internet est essentielle pour toutes les organisations, et le principal connecteur entre les utilisateurs finaux et le contenu préjudiciable sur Internet est le navigateur Web.
En tant que tel, la sécurité du navigateur est d’une importance primordiale et la confidentialité du navigateur est un élément clé de la sécurité du navigateur. Les navigateurs populaires – tels que Chrome, Edge et, dans une moindre mesure, Safari – sont fournis par des entreprises qui vendent des données d’utilisateurs à des annonceurs et à d’autres tiers.
De plus, les navigateurs stockent des mots de passe, des noms d’utilisateur et d’autres informations de sécurité de compte qui peuvent être une cible importante pour les pirates, même si les informations sont cryptées. Une grande partie de ces informations est conservée dans des cookies et les sites favoris d’un utilisateur font partie d’un historique enregistré, que les fournisseurs de navigateurs peuvent vendre.
Dans les organisations qui minimisent ces risques en désactivant la saisie semi-automatique des noms d’utilisateur et des mots de passe ou en supprimant les cookies, les utilisateurs devront saisir un nom d’utilisateur et un mot de passe pour chaque page Web qui le demande. Pourtant, la sécurité et la confidentialité ne devraient pas se faire au détriment de l’UX.
Il existe des fonctionnalités de sécurité que ces navigateurs utilisent pour assurer la confidentialité et la sécurité, mais il n’existe aucun moyen réel d’assurer une protection complète de la confidentialité et de la sécurité contre tous les vecteurs d’attaque, les logiciels publicitaires et autres problèmes. Un navigateur sécurisé est important pour tous les membres de l’organisation, qu’ils aient accès ou non à des informations financières ou classifiées. Ainsi, les organisations ont tout intérêt à trouver la bonne combinaison de politiques et de technologies d’utilisation acceptables à mettre en œuvre dans toute l’entreprise.
Menaces et outils de sécurité du navigateur
Les organisations doivent commencer le processus d’évaluation du navigateur en examinant les menaces qu’elles doivent combattre. Bien que cette liste de menaces couvre de nombreux vecteurs de menaces modernes, de nouvelles méthodes d’attaque peuvent apparaître. Les équipes informatiques doivent se tenir au courant de toute nouvelle mise à jour de sécurité du navigateur.
À partir de là, les équipes informatiques peuvent déterminer quel navigateur fonctionne le mieux et quels outils ils doivent utiliser pour compléter et prendre en charge l’utilisation du navigateur Web.
Des menaces
L’hameçonnage est l’un des principaux vecteurs de menace auxquels les entreprises doivent faire face. Ces types d’attaques sont très efficaces et constituent souvent le point d’entrée des attaques de cybercriminalité, telles que les menaces persistantes avancées et les ransomwares. Ils consistent à inciter un utilisateur à cliquer sur un lien vers un site Web compromis et à entrer des mots de passe, des données personnelles ou des informations financières. Un pirate informatique n’a besoin que d’un seul utilisateur pour télécharger un logiciel malveillant inclus dans un jeu, une vidéo ou d’autres données, puis accéder au réseau de l’entreprise.
Il est préférable pour les organisations de trouver la bonne combinaison de politiques et de technologies d’utilisation acceptables à mettre en œuvre dans l’ensemble de l’entreprise.
Un rapport de Cisco a déclaré que les quatre menaces de sécurité les plus répandues sont le cryptomining, le phishing, les chevaux de Troie et les ransomwares, dans cet ordre, qui représentent 100 millions de menaces par mois. Toutes les autres menaces représentaient 10 % de ce total combiné. L’étude de Cisco a également indiqué que 86 % des organisations participantes avaient au moins un utilisateur essayant de se connecter à un site de phishing, et 70 % avaient des utilisateurs obtenant des publicités de navigateur malveillantes. Cisco a également estimé que 90 % des violations de données commencent par le phishing. Il est important de lutter contre le phishing dans le cadre de la sécurité de l’entreprise et en harmonie avec la sécurité du navigateur.
L’hameçonnage se produit généralement par courrier électronique, mais mène à un site Web. Lors de la sélection d’un navigateur, il est important de prendre en compte les fonctionnalités antiphishing.
Les autres menaces contre lesquelles les équipes informatiques doivent se protéger sont les suivantes :
les redirections, qui envoient les utilisateurs vers des sites Web néfastes en trompant l’utilisateur ou en utilisant une fausse façade se faisant passer pour les sites légitimes ;
des publicités contextuelles qui ne peuvent pas être fermées ou qui bombardent l’utilisateur de fenêtres contextuelles sur des actions aléatoires sur des sites Web légitimes ;
vecteurs d’attaque fournis par les défaillances de sécurité du système d’exploitation ou du navigateur ;
plugins et extensions de navigateur provenant de sources non fiables ou falsifiées ;
fuites de mots de passe à partir du stockage de mots de passe d’un navigateur ; et
historique du navigateur et cache pouvant être lus et suivis.
Outils
La mesure préventive la plus importante que les équipes informatiques peuvent prendre pour minimiser les attaques de navigateur est peut-être simplement la formation des utilisateurs finaux. Les technologies de sécurité ne peuvent pas complètement protéger l’entreprise contre les attaques si les utilisateurs ouvrent la porte et laissent les attaquants contourner les mesures de sécurité. De nombreuses organisations exigent une formation annuelle pour apprendre aux utilisateurs à identifier les attaques de phishing et autres via les navigateurs. Ces formations couvrent également le courrier électronique et d’autres vecteurs d’ingénierie sociale. Cela donnera de meilleurs résultats que les politiques draconiennes d’utilisation des navigateurs ou l’investissement massif de ressources dans des plates-formes de sécurité complexes.
Cela dit, il existe des outils et des plates-formes logicielles de sécurité qui peuvent ajouter de la valeur :
Bloqueurs de pop-up. Bien que ceux-ci aident à empêcher certaines publicités contextuelles, ils empêchent également certaines fenêtres contextuelles qui demandent des informations saisies par l’utilisateur, telles que des identifiants de connexion ou une soumission de formulaire. Les pirates ont trouvé des moyens de contourner la plupart de ces bloqueurs, de sorte que cette technologie résout peut-être davantage le problème obsolète des fenêtres contextuelles constantes.
Contrôles natifs du système d’exploitation et du navigateur. Les équipes informatiques peuvent atténuer les défaillances de la sécurité de base du système d’exploitation et du navigateur grâce à une politique de gestion des correctifs d’entreprise agressive. Les virus, les fuites de sécurité et les portes dérobées reçoivent rapidement des correctifs des fournisseurs, mais les virus pénètrent avant que les correctifs ne soient mis en œuvre. L’application de correctifs en temps opportun est difficile mais essentielle pour un environnement d’utilisateur final sécurisé.
Logiciel antivirus. Ces outils permettent de supprimer les logiciels publicitaires et de gérer les mots de passe. Ils sont généralement plus efficaces que les fonctionnalités natives du navigateur. Remarque : Ces outils peuvent également inclure des bloqueurs de fenêtres contextuelles.
Bloqueurs de contenu. Ce sont des outils efficaces pour bloquer les attaques de phishing en empêchant l’affichage d’informations malveillantes. Le service informatique peut généralement ajouter des bloqueurs de contenu via une extension, telle que uBlock Origin. Ceux-ci filtreront les listes, les publicités et le suivi et maintiendront une liste de blocage des URL malveillantes. Les listes de blocage et les listes d’autorisation de sites Web peuvent également aider à filtrer les contenus nuisibles.
Blocage de sites Web personnels. Les navigateurs permettent aux utilisateurs d’ajouter ou de supprimer spécifiquement des sites Web à partir des options accessibles du navigateur. Les responsables informatiques et commerciaux peuvent gérer ces listes pour répondre rapidement aux nouvelles menaces.
Forcer HTTPS. HTTPS est le protocole HTTP sécurisé auquel les navigateurs peuvent forcer l’utilisateur à naviguer. Certains navigateurs affichent une notification et laissent l’utilisateur choisir entre ces protocoles, mais le service informatique peut imposer ces contrôles.
Désactivation de la saisie semi-automatique, blocage des cookies, purge du cache du navigateur. Il s’agit de contrôles spécifiques que les équipes informatiques peuvent utiliser pour minimiser les risques de sécurité ou de confidentialité. De plus, le service informatique peut empêcher les navigateurs de stocker les mots de passe. Ces étapes rendront l’environnement plus sûr, mais il peut y avoir un prix élevé à payer en termes de satisfaction et de productivité de l’utilisateur final. La désactivation de l’un de ces éléments obligera les utilisateurs à saisir des identifiants de connexion au début de chaque visite du site, y compris des mots de passe, des noms d’utilisateur, etc. Il existe un terrain d’entente où le service informatique peut purger périodiquement les cookies et le cache du navigateur et parfois configurer progressivement la saisie semi-automatique.
Utilisation de gestionnaires de mots de passe tiers. De nombreux produits antivirus incluent des gestionnaires de mots de passe. Ces éditions sont plus sûres et plus efficaces que dans un navigateur gratuit.
Utilisation de navigateurs virtuels. Plutôt qu’un navigateur sur un terminal, les organisations peuvent exécuter un navigateur Web hébergé dans un environnement virtuel et le fournir aux utilisateurs finaux. Les logiciels malveillants ne peuvent pas accéder à l’appareil de l’utilisateur final et ne seraient pas en mesure d’installer ces logiciels nuisibles.
Bloqueur JavaScript. Le danger de JavaScript est qu’il est presque impossible d’empêcher les pirates de visualiser et de voler des informations. Bien sûr, tous les scripts ne sont pas dangereux, mais il est si populaire qu’il n’est pas pratique de le bloquer. De plus, Google n’autorisera pas les utilisateurs JavaScript désactivés à se connecter aux comptes Google. Ainsi, bloquer JavaScript serait sûr, mais cela rendrait Internet inutile pour la plupart des travailleurs. Si le service informatique peut bloquer certains types de scripts, ce sera la meilleure option pour la plupart des organisations.
Rallonges. Les bibliothèques d’applications varient en fonction de leur surveillance des extensions néfastes. Les extensions Chrome du Chrome Web Store, par exemple, sont plus sûres que les extensions de Google Play. Les extensions de Safari sont sûres car Apple est strict. Les extensions Chrome, pour la plupart, fonctionneront avec d’autres navigateurs basés sur Chromium tels que Microsoft Edge. Les extensions Firefox doivent provenir de la page principale de Mozilla pour être sûres. De nombreuses extensions sont souhaitables pour les utilisateurs finaux et les professionnels de l’informatique, car elles peuvent améliorer l’expérience utilisateur, la sécurité et la confidentialité.
Certaines extensions recommandées incluent Web of Trust, LastPass, NoScript et 1Password, mais il existe de nombreuses autres options viables. Les équipes informatiques doivent simplement tester les extensions et vérifier leur efficacité et leur fiabilité.
Comparaison de la confidentialité des navigateurs Web
Le marché des navigateurs est dominé par quelques acteurs majeurs, avec Google Chrome en tête du peloton. Mozilla Firefox, Microsoft Edge et Apple Safari complètent le top quatre en termes de part de marché. Il existe de nouveaux navigateurs qui sont plus sécurisés à bien des égards, notamment dans la manière dont ils protègent votre vie privée et vendent vos données à des sponsors. Ces autres navigateurs incluent Brave, Opera et Vivaldi.
Une comparaison des quatre principaux navigateurs montre des différences très mineures dans les fonctionnalités de sécurité. Par exemple, ces quatre navigateurs offrent la gestion des cookies, le stockage des mots de passe pour le remplissage automatique, l’historique du navigateur et la gestion du cache, ainsi que le blocage de site personnalisé.
Néanmoins, il est important de savoir exactement quelles sont les fonctionnalités de chaque navigateur. En outre, le service informatique peut ajouter des extensions pour compléter un navigateur avec des fonctionnalités supplémentaires.
Quelles mesures les équipes informatiques doivent-elles suivre pour sécuriser les navigateurs ?
Il est difficile de nommer un seul meilleur navigateur, même du point de vue de la confidentialité ou de la sécurité, car il n’y a pas beaucoup de fonctionnalités uniques sur le marché des navigateurs. Ainsi, tout dépend de ce avec quoi les utilisateurs sont à l’aise de travailler et de ce que les équipes informatiques sont à l’aise de gérer. Imaginez l’effet sur les utilisateurs qu’aurait un passage de Chrome à Firefox. Cela créerait une nouvelle courbe d’apprentissage, une baisse de la productivité et une augmentation des appels d’assistance au service d’assistance.
Les utilisateurs devraient comprendre comment gérer la migration des signets, se souvenir des mots de passe stockés dans le navigateur et perdre leur historique de navigation. S’il existe une raison valable de procéder à une migration de cette nature, alors cela peut être fait. Cependant, la raison devrait justifier le prix qui sera payé en termes de productivité et de frustration des utilisateurs.
Avec tout cela à l’esprit, les recommandations suivantes traitent des problèmes de confidentialité et de sécurité qu’une organisation doit prendre en compte lors de l’élaboration d’une politique de navigateur :
La formation de l’utilisateur. Identifiez les meilleures pratiques et développez ou achetez une formation en ligne simple qui apprendra aux utilisateurs à éviter d’accéder à des sites compromis. Les utilisateurs doivent suivre cette formation au moins une fois par an.
Patchez toujours. Gardez le système d’exploitation, les applications et le navigateur patchés aussi rapidement que possible.
Antivirus. Installez un produit antivirus compétent et maintenez-le à jour.
Évaluer le navigateur, gérer les extensions. Déterminez les points forts et faibles du navigateur existant pour déterminer s’il existe des extensions qui peuvent améliorer ces faiblesses. Ajoutez des extensions de confiance et évitez les inconnues. Assurez-vous que les utilisateurs n’ajoutent pas non plus d’extensions potentiellement dangereuses.
Définir les politiques de sécurité recommandées par l’industrie. Prenez les normes de l’industrie pour les politiques de navigateur et adaptez-les à l’organisation donnée. Déployez-les via des politiques globales sur les navigateurs et les applications logicielles associées.
Définir et mettre en œuvre des politiques de mot de passe. Les organisations doivent utiliser des normes et des politiques de mot de passe strictes qui tiennent compte de la longueur du mot de passe, de la durée de vie du mot de passe et de la syntaxe de mot de passe fort. Ils doivent également envisager fortement l’authentification multifacteur lorsque cela est possible. Les équipes informatiques peuvent même souhaiter utiliser des applications ou des points d’accès sans mot de passe.
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duration
Description
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
