Le **Verizon Data Breach Investigations Report (DBIR)** annuel sert de référence essentielle pour l'industrie de la cybersécurité, offrant des aperçus dérivés d'une multitude de sources de données indépendantes. Cette année, le **DBIR** 2026 signale un changement structurel important dans les méthodologies des attaquants, soulignant l'importance croissante de la visibilité au niveau du navigateur. En tant que contributeur au **DBIR** 2026, l'équipe **Keep Aware** a obtenu un aperçu précoce de ces signaux convergents. Leur télémétrie de navigateur s'aligne sur les données du **DBIR**, révélant davantage de domaines critiques où les outils réseau et de point de terminaison traditionnels sont insuffisants. ### Shadow AI : un risque d'entreprise généralisé Le **Shadow AI** est devenu une préoccupation majeure, identifié dans le **Verizon DBIR** comme la troisième action interne non malveillante la plus courante observée dans les ensembles de données de prévention des pertes de données (DLP). Cela représente une augmentation de quatre fois par rapport à l'année précédente. Les employés utilisent de plus en plus de services d'IA personnels comme **ChatGPT** pour accélérer les tâches, collant souvent des documents internes ou du code source dans des sessions non autorisées avant que des alternatives approuvées par l'entreprise ne soient disponibles. L'ampleur de cette utilisation non autorisée de l'IA est stupéfiante : 67 % des utilisateurs accèdent à des services d'IA sur des appareils d'entreprise via des comptes personnels non-entreprise. De plus, 45 % des employés sont désormais des utilisateurs réguliers d'IA. La télémétrie du navigateur de **Keep Aware** ajoute une couche de détail cruciale, montrant que plus de la moitié des entrées de prompt d'IA sont envoyées à des comptes personnels. Un pourcentage significatif de 23 % des téléchargements de prompts sensibles impliquent des données transitant par des comptes personnels ou non vérifiés, contournant ainsi efficacement les politiques DLP de l'entreprise et l'infrastructure de journalisation.  ### Abus d'identifiants et lacune de détection du navigateur Le **DBIR** 2026 a révélé que 39 % des violations impliquaient un abus d'identifiants. Les données d'attaque 2025 de **Keep Aware** corroborent cela, identifiant le vol d'identifiants basé sur le navigateur comme l'attaque principale basée sur le navigateur, représentant environ 41 % de l'activité de menace observée. Cela suggère que le vol d'identifiants provenant du navigateur précède souvent les violations réussies. Une conclusion critique est l'invisibilité de ces attaques pour les outils de sécurité traditionnels. L'analyse de **Keep Aware** a révélé que 63 % des sites de phishing à thème **Microsoft** n'étaient pas signalés par un quelconque vendeur **VirusTotal** au moment de l'exposition de l'employé. Plus alarmant encore, 100 % des tentatives de vol d'identifiants observées ont contourné les contrôles de sécurité non-navigateur existants, y compris les proxys réseau, les filtres DNS et les agents de point de terminaison. La détection, semble-t-il, n'est possible de manière fiable qu'à l'intérieur du navigateur lui-même, où la page est rendue et où l'interaction de l'utilisateur se produit. ### Extensions de navigateur : privilégiées, non réglementées et menace croissante Les extensions de navigateur fonctionnent avec un niveau de privilège élevé, capables de lire, modifier et exfiltrer des données depuis le contexte du navigateur. Malgré cela, le **DBIR** 2026 a signalé que l'entreprise moyenne compte plus de 15 % d'utilisateurs avec des extensions d'IA non autorisées installées. Le problème s'étend au-delà des outils d'IA. La télémétrie de **Keep Aware** montre que 13 % des extensions de navigateur uniques parmi leur clientèle ont été classées comme présentant un risque élevé ou critique. Un aperçu particulièrement préoccupant est que 93 % de ces extensions de mauvaise réputation étaient étiquetées comme outils de "productivité" par les marketplaces de navigateurs. Cette catégorisation courante rend les politiques d'autorisation basées sur les catégories pratiquement inutiles pour cette classe de menaces. ### ClickFix et ingénierie sociale native au navigateur Le **DBIR** 2026 et le **State of Browser Security Report** de **Keep Aware** mettent en évidence **ClickFix** comme une technique d'ingénierie sociale émergente. Le **Verizon DBIR** a noté que **ClickFix** représentait 2,7 % des attaques détectées par le navigateur, un indicateur faible mais significatif de l'évolution de l'ingénierie sociale basée sur le navigateur.  **ClickFix** est une tactique trompeuse conçue pour inciter les utilisateurs à exécuter involontairement du code malveillant depuis le navigateur sur leur machine hôte. Ces attaques proviennent souvent de sites Web compromis ou même de réponses de chat LLM malveillantes. Bien que le point de terminaison subisse finalement l'impact, le navigateur sert de premier moyen d'ingénierie sociale et, de manière cruciale, de première ligne de défense. ### L'élément humain : un problème centré sur le navigateur Le **DBIR** 2026 a révélé que 62 % des violations impliquaient l'élément humain, le phishing initiant 16 % des incidents. Les données de **Keep Aware** soulignent davantage cela, montrant le phishing et l'ingénierie sociale responsables de 46 % des attaques de navigateur en 2025. Bien que souvent présenté comme un problème de formation et de sensibilisation, les attaquants affinent constamment l'ingénierie sociale basée sur le navigateur. Les tactiques incluent des liens de phishing vers des sites intermédiaires bénins, des chaînes de redirection complexes, des pages qui s'affichent différemment pour les scanners automatisés, du contenu hébergé sur des sites Web légitimes et des injections silencieuses du presse-papiers. La visibilité au niveau du navigateur n'élimine pas l'élément humain, mais déplace la détection vers le point d'interaction, identifiant les menaces avant qu'elles ne soient exploitées en aval. ### Implications pour les équipes de sécurité Le **Shadow AI**, le vol d'identifiants, les extensions malveillantes et les techniques d'ingénierie sociale natives au navigateur comme **ClickFix** partagent un fil conducteur : ils s'exécutent tous dans le navigateur et produisent des artefacts les plus visibles, sinon uniquement, au niveau du navigateur. Les programmes de sécurité s'appuyant uniquement sur la télémétrie réseau, de point de terminaison et d'identité continueront de présenter des angles morts importants précisément là où les attaquants opèrent de plus en plus. Le navigateur n'est plus simplement une application ; pour la plupart des utilisateurs d'entreprise, c'est l'environnement de travail principal. Le sécuriser n'est plus une option mais une nécessité. Comprendre cette lacune est crucial avant que les attaquants ne l'exploitent.