Navigateurs IA : une révolution technologique aux risques sous-estimés pour les entreprises

Orphée Grandsable

Selon une étude récente de Gartner publiée fin 2025, les navigateurs intelligents représentent une avancée technologique prometteuse mais présentent des risques de sécurité inacceptables pour une adoption généralisée par la plupart des organisations. Dans un rapport de 13 pages, les analystes Dennis Xu, Evgeny Mirolyubov et John Watts alertent sur les dangers potentiels associés à ces nouvelles technologies qui transforment notre manière d’interagir avec Internet.

Les navigateurs IA : une révolution technologique aux risques sous-estimés pour les entreprises

Alors que l’adoption des technologies d’intelligence artificielle connaît une croissance exponentielle, les navigateurs IA émergent comme une innovation susceptible de redéfinir notre expérience en ligne. Ces navigateurs intègrent nativement des capacités d’IA avancées, permettant une interaction plus naturelle avec le contenu web et l’automatisation de nombreuses tâches en ligne. Toutefois, cette révolution technologique s’accompagne de risques de sécurité substantiels qui méritent une attention particulière de la part des professionnels de la cybersécurité.

Les navigateurs IA se distinguent des navigateurs traditionnels par leur capacité à comprendre le contexte, à synthétiser l’information et à agir de manière autonome sur Internet. Selon Gartner, ces fonctionnalités avancées « peuvent contourner les contrôles traditionnels et créer de nouveaux risques tels que les fuites de données sensibles, les transactions erronées des agents et l’abus d’identifiants ». Cette caractéristique agentic représente à la fois la force principale et la principale faiblesse de ces technologies émergentes.

« Les navigateurs intelligents représentent un saut technologique significatif, mais leur maturité en matière de sécurité ne suit pas le rythme de leur déploiement », soulignent les analystes de Gartner dans leur document.

Dans le contexte français, où les réglementations sur la protection des données comme le RGPD imposent des exigences strictes, l’utilisation de ces navigateurs pourrait exposer les entreprises à des conséquences juridiques et financières importantes. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a déjà mis en garde contre l’adoption précipitée de technologies dont la sécurité n’a pas été validée de manière approfondie.

L’avis de Gartner sur les navigateurs IA

Le rapport de Gartner ne recommande pas une interdiction complète des navigateurs IA, mais plutôt une approche prudente et différenciée selon le profil de risque de chaque organisation. Les analystes soulignent que les paramètres par défaut des navigateurs IA, conçus pour optimiser l’expérience utilisateur, peuvent compromettre gravement la sécurité des données.

« Les données utilisateur sensibles — telles que le contenu web actif, l’historique de navigation et les onglets ouverts — sont souvent envoyées vers le backend cloud de l’IA, augmentant le risque d’exposition des données sauf si les paramètres de sécurité et de confidentialité sont renforcés de manière délibérée et gérés de façon centralisée », expliquent les experts de Gartner.

Cette transmission automatique de données vers des serveurs externes soulève des questions fondamentales sur la gouvernance des informations et le respect des cadres réglementaires. Pour les entreprises opérant dans des secteurs réglementés comme la finance, la santé ou les services publics, cette pratique pourrait constituer une violation directe des obligations légales en matière de protection des données.

Dans la pratique, les organisations doivent évaluer soigneusement la valeur ajoutée potentielle des navigateurs IA par rapport aux risques associés. Pour certaines entreprises, notamment celles travaillant dans des domaines peu sensibles ou avec des données non confidentielles, l’expérimentation contrôlée pourrait être envisagée. Cependant, pour la majorité des organisations, notamment celles manipulant des données à caractère personnel ou des informations stratégiques, une approche de précaution s’impose.

Les capacités agentic : un risque majeur pour la sécurité

Les chercheurs de Gartner se sont principalement concentrés sur les risques liés aux capacités agentic des navigateurs IA, plutôt que sur les risques potentiels des barres latérales IA intégrées. Les fonctions de recherche et de synthétisation alimentées par les grands modèles linguistiques (LLM) « seront toujours susceptibles aux d’attaques par injection indirecte de commandes, étant donné que les LLM actuels sont intrinsèquement vulnérables à ce type d’attaques ».

Cependant, l’accent a été mis sur les risques introduits par les capacités de transaction autonome des navigateurs IA, qui pourraient générer de nouvelles menaces de sécurité. Parmi celles-ci, on trouve : « les actions d’agents malveillants induites par l’injection indirecte de commandes, les actions erronées d’agents dues à un raisonnement inexact, et une perte supplémentaire et un abus d’identifiants si le navigateur IA est induit en erreur pour naviguer automatiquement vers un site de phishing ».

Les navigateurs IA pourraient également divulguer des données sensibles que les utilisateurs consultent actuellement à leur service backend basé sur le cloud, un risque particulièrement préoccupant pour les professionnels traitant des informations confidentielles. Cette fuite potentielle de données est amplifiée par le fait que les utilisateurs ont tendance à consulter des données beaucoup plus sensibles dans un navigateur que ce qu’ils entreraient typiquement dans une invite d’IA générative.

En outre, les employés pourraient être tentés d’utiliser les navigateurs IA pour automatiser des tâches, ce qui pourrait entraîner « des transactions erronées d’agents contre des ressources internes suite au raisonnement inexact ou au contenu de sortie du LLM ». Cette capacité d’automatisation, bien qu’utile en théorie, représente un risque significatif si elle est utilisée sans les garde-fous appropriés.

Les navigateurs IA introduisent une nouvelle dimension de risque en combinant la puissance des LLM avec l’accès direct aux systèmes et données de l’utilisateur, créant ainsi un vecteur d’attaque unique et particulièrement dangereux.

Focus sur Perplexity Comet : étude des vulnérabilités

La capacité transactionnelle agentic des navigateurs IA « est une nouvelle capacité qui différencie les navigateurs IA des barres latérales de conversation IA tierces et de l’automatisation de navigateur basée sur des scripts simples », expliquent les analystes de Gartner. Tous les navigateurs IA ne prennent pas en charge les transactions agentic, mais deux d’entre eux le font de manière notable : Perplexity Comet et ChatGPT Atlas d’OpenAI.

Les chercheurs ont effectué « un nombre limité de tests utilisant Perplexity Comet », ce navigateur IA étant donc leur principal point d’attention. Cependant, ils notent que « ChatGPT Atlas et autres navigateurs IA fonctionnent de manière similaire, et les considérations en matière de cybersécurité sont également similaires ». Cette observation suggère que les risques identifiés ne sont probablement pas limités à un seul produit.

La documentation de Comet indique que le navigateur « peut traiter certaines données locales en utilisant les serveurs de Perplexity pour répondre à vos requêtes. Cela signifie que Comet lit le contexte de la page demandée (tel que le texte et les e-mails) afin d’accomplir la tâche demandée ».

« Cela signifie que les données sensibles que l’utilisateur consulte sur Comet pourraient être envoyées au service IA cloud de Perplexity, créant un risque de fuite de données sensibles », avertissent les analystes de Gartner.

Même si un navigateur IA est approuvé, les utilisateurs doivent être formés pour comprendre que « tout ce qu’ils consultent pourrait potentiellement être envoyé au backend du service IA afin de s’assurer qu’ils n’ont pas de données hautement sensibles actives dans l’onglet du navigateur tout en utilisant la barre latérale du navigateur IA pour résumer ou effectuer d’autres actions autonomes ».

Dans un contexte français, où les entreprises sont soumises au RGPD et à d’autres réglementations strictes, cette transmission potentielle de données sensibles vers des serveurs externes pourrait avoir des implications juridiques importantes. Les organisations doivent évaluer soigneusement ces risques avant toute adoption de ces technologies.

Recommandations stratégiques pour les entreprises

Face à ces risques, Gartner propose une approche stratégique différenciée selon le niveau de tolérance au risque de chaque organisation. Les analystes recommandent de bloquer l’accès, le téléchargement et l’installation des navigateurs IA par les employés via des contrôles de sécurité réseau et de point de terminaison.

« Les organisations avec une faible tolérance au risque doivent bloquer l’installation des navigateurs IA, tandis que celles avec une tolérance au risque plus élevée peuvent expérimenter avec des cas d’utilisation d’automatisation à faible risque et contrôlés de manière stricte, en s’assurant des garde-forts robustes et d’une exposition minimale aux données sensibles », précisent les experts.

Pour les cas d’utilisation pilotes, ils recommandent de désactiver le paramètre de « rétention des données IA » de Comet afin que Perplexity ne puisse pas utiliser les recherches des employés pour améliorer ses modèles d’IA. Les utilisateurs devraient également être instruits pour effectuer périodiquement la fonction « supprimer tous les souvenirs » dans Comet afin de minimiser le risque de fuite de données sensibles.

Dans un contexte français, ces recommandations doivent être adaptées pour aligner les pratiques avec les exigences du RGPD et les cadres de sécurité établis par l’ANSSI. Les organisations françaises devraient également considérer les implications potentielles sur la conformité avec la loi sur la confiance numérique et d’autres réglementations spécifiques au secteur.

Mise en œuvre : comment sécuriser votre environnement face aux navigateurs IA

Mettre en œuvre une politique de sécurité robuste face aux navigateurs IA nécessite une approche structurée qui combine des contrôles techniques, des politiques organisationnelles et une formation continue des utilisateurs. Voici les étapes concrètes que les organisations peuvent suivre pour protéger leurs environnements informatiques.

Contrôles techniques et configuration

  1. Blocage des installations via les pare-feu et systèmes de prévention des intrusions : Configurer vos pare-feu pour bloquer l’accès aux sites de téléchargement des principaux navigateurs IA et déployer des règles dans vos systèmes de prévention des intrusions pour empêcher l’exécution de ces applications.

  2. Gestion des points de terminaison : Utiliser des solutions de gestion des points de terminaison pour empêcher l’installation non autorisée d’applications, y compris les navigateurs IA. Les politiques de gestion des applications mobiles (MAM) et des applications professionnelles (MEP) peuvent aider à contrôler quels logiciels peuvent être exécutés sur les appareils de l’entreprise.

  3. Renforcement des paramètres de sécurité des navigateurs existants : Pour les navigateurs traditionnels, mettre en place des politiques de restriction qui limitent les extensions et modules complémentaires pouvant intégrer des fonctionnalités similaires aux navigateurs IA.

  4. Surveillance du trafic réseau : Mettre en place des systèmes de détection d’anomalies pour identifier les communications inhabituelles avec les services cloud qui soutiennent les navigateurs IA, indiquant potentiellement une utilisation non autorisée.

Politiques organisationnelles et formation

  1. Établissement d’une politique claire d’utilisation des outils IA : Développer une politique organisationnelle explicite qui définit quels outils d’IA sont approuvés, dans quel contexte et quelles sont les exigences en matière de sécurité pour leur utilisation.

  2. Formation des utilisateurs aux risques : Mettre en place des programmes de formation réguliers pour sensibiliser les employés aux risques associés à l’utilisation non autorisée d’outils d’IA, y compris les navigateurs IA. La formation doit inclure des exemples concrets de menaces et de techniques d’ingénierie sociale.

  3. Processus d’approbation des outils : Établir un processus formel d’évaluation et d’approbation pour tout nouvel outil d’IA avant son déploiement dans l’environnement de production, en tenant compte des aspects de sécurité, de confidentialité et de conformité.

  4. Gestion des identifiants et des accès : Mettre en œuvre des pratiques strictes de gestion des identifiants, y compris l’authentification multifactorielle et la rotation régulière des mots de passe, pour limiter l’impact potentiel d’une compromission des identifiants.

Évaluation et gestion des risques

  1. Évaluation des risques sectoriels : Comprendre les risques spécifiques à votre secteur d’activité et comment les navigateurs IA pourraient exposer vos vulnérabilités uniques. Par exemple, les institutions financières doivent se concentrer sur les risques de fraude et d’abus de transactions, tandis que les organisations de santé doivent se concentrer sur la protection des informations de santé protégées (PHI).

  2. Tests d’intrusion ciblés : Engager des tests d’intrusion spécialisés qui évaluent spécifiquement les risques associés aux navigateurs IA, y compris les tentatives d’injection de commandes et les manipulations d’agents autonomes.

  3. Évaluation des fournisseurs : Pour les organisations qui envisagent d’utiliser des navigateurs IA dans des environnements contrôlés, mettre en place un processus rigoureux d’évaluation des fournisseurs qui examine les pratiques de sécurité, de confidentialité et de conformité du fournisseur.

  4. Mise à jour continue des évaluations de risque : Étant donné que cette technologie est nouvelle et évolutive, les évaluations de risque doivent être revues et mises à jour régulièrement pour tenir compte des nouvelles menaces et des nouvelles fonctionnalités des navigateurs IA.

Conclusion : une approche prudente nécessaire face à l’émergence des navigateurs IA

Les navigateurs IA représentent une avancée technologique fascinante qui transformera probablement notre interaction avec le numérique dans les années à venir. Cependant, comme le souligne Gartner dans son rapport de 2025, les risques de sécurité associés à ces technologies sont actuellement trop importants pour une adoption généralisée par la plupart des organisations.

La principale préoccupation réside dans les capacités agentic de ces navigateurs, qui permettent une autonomie décisionnelle et des actions potentiellement dangereuses sans intervention humaine directe. Les risques de fuite de données sensibles, de transactions erronées et d’abus d’identifiants justifient une approche de précaution, particulièrement pour les organisations manipulant des informations critiques ou réglementées.

Dans le contexte français, où les exigences de conformité sont particulièrement strictes, l’adoption précipitée des navigateurs IA pourrait exposer les entreprises à des conséquences juridiques et financières importantes. L’ANSSI et d’autres organismes de régulation sont susceptibles de renforcer leurs cadres réglementaires pour faire face à ces nouvelles technologies.

Pour les organisations souhaitant explorer ces technologies malgré les risques, une approche progressive et contrôlée s’impose. Les pilotes limités dans des environnements isolés, avec des garde-forts techniques et des politiques organisationnelles strictes, permettent de comprendre la valeur ajoutée potentielle tout en minimisant les risques.

À mesure que la maturité technologique et les pratiques de sécurité des navigateurs IA évolueront, nous pouvons nous attendre à voir des recommandations plus nuancées émerger. Pour l’instant, la position de Gartner reste claire : les navigateurs intelligents sont trop risqués pour une adoption généralisée, et les organisations doivent privilégier la sécurité face à l’innovation jusqu’à ce que ces technologies aient démontré leur robustesse face aux menaces émergentes.

Dans un paysage cybercriminel en constante évolution, où les acteurs malveillants exploitent rapidement les nouvelles technologies, une approche prudente et fondée sur les preuves n’est pas seulement une question de conformité, mais une nécessité stratégique pour protéger les actifs informationnels et maintenir la confiance des clients et partenaires.