Isolation du navigateur : quand une ETI industrielle découvre que sa sécurité reposait sur une boîte noire américaine

# Isolation du navigateur : quand une ETI industrielle découvre que sa sécurité reposait sur une boîte noire américaine

La levée de fonds de VirtualBrowser — 6 millions d'euros pour scaler une technologie d'isolation de navigateur made in Europe — a fait peu de bruit dans la presse généraliste. Elle en dit pourtant beaucoup sur l'état réel de la sécurité des PME et ETI européennes. Et sur ce qu'elles ont accepté, souvent sans le formuler clairement, en confiant leur périmètre web à des acteurs dont les serveurs, les équipes juridiques et les intérêts stratégiques sont à dix fuseaux horaires d'elles.

Voici ce qu'on observe sur le terrain. Pas un bilan flatteur. Pas un pitch. Une situation concrète, avec ses angles morts.

Le déclencheur : un audit qui fait mal

Une ETI industrielle de 800 salariés, implantée sur trois sites en Europe, secteur équipements de process. Elle travaille avec des donneurs d'ordre soumis à des exigences de confidentialité élevées. Son DSI, en poste depuis quatre ans, a la réputation d'un homme pragmatique : il ne fait pas de la souveraineté numérique un principe idéologique, il en fait un critère de risque comme un autre.

En 2024, lors d'un audit de sécurité commandé dans le cadre d'une réponse à appel d'offres, un prestataire externe remonte une anomalie : la quasi-totalité des sessions web des collaborateurs — accès aux portails fournisseurs, consultation de documentation technique, échanges via des interfaces SaaS — transitait par un composant fourni en bundle avec la suite bureautique de l'acteur américain dominant. Un composant que personne, en interne, n'avait explicitement choisi. Il était là, actif, paramétré par défaut.

La question posée par l'auditeur était simple : *savez-vous ce que cet outil remonte, vers qui, et sous quelle juridiction ?*

La réponse honnête était non.

Ce que « isoler le navigateur » veut dire, et ce que ça ne veut pas dire

L'isolation de navigateur — ou *remote browser isolation* dans le vocabulaire marketing — consiste à exécuter les sessions web dans un environnement cloisonné, séparé du poste utilisateur. Si une page malveillante tente d'injecter du code, elle s'exécute dans une sandbox distante et n'atteint jamais le système d'information de l'entreprise. Le principe est solide. Il n'est pas nouveau.

Ce qui a changé, c'est le contexte réglementaire et géopolitique. En 2026, après plusieurs années de tensions sur les transferts de données transatlantiques, après l'entrée en application progressive de NIS2, après les premières sanctions RGPD significatives dans l'industrie, le *où* s'exécute cette sandbox est devenu une question de gouvernance, pas seulement de cybersécurité.

Le DSI de l'ETI l'a formulé ainsi lors d'un échange informel : *« On a passé des années à auditer nos fournisseurs industriels sur la traçabilité des composants. On n'avait jamais appliqué le même raisonnement à notre stack logicielle. »*

C'est là que le marketing des solutions d'isolation mérite d'être questionné frontalement. Dire qu'on « isole les menaces » ne dit rien sur la localisation des serveurs qui exécutent cette isolation. Ne dit rien sur les métadonnées collectées — URLs visitées, fréquences, comportements de navigation. Ne dit rien sur les obligations légales de l'éditeur vis-à-vis des autorités du pays où il est incorporé.

VirtualBrowser, fondée en Europe, certifiée et hébergée sur infrastructure européenne, répond à une partie de ces questions. Mais la réponse honnête à donner à tout DSI qui évalue ce type de solution est la suivante : l'outil ne dispense pas d'une gouvernance. Il en crée une nouvelle.

L'angle mort organisationnel : qui, en interne, sait lire ce que la solution remonte ?

L'ETI a déployé une solution d'isolation de navigateur européenne sur un périmètre pilote — une cinquantaine de postes, essentiellement les profils ayant accès à des données contractuelles sensibles. Le déploiement technique s'est bien passé. C'est après que les choses se sont compliquées.

Premier problème : les logs. Une solution d'isolation génère des volumes importants de données de session. Pour qu'elles aient une valeur opérationnelle, il faut des gens capables de les lire, de les corréler avec d'autres sources, d'en tirer des alertes pertinentes. L'ETI ne disposait pas, en interne, de cette compétence à temps plein. Elle avait un RSSI à mi-temps et un prestataire SOC externalisé — dont les outils d'analyse étaient, eux, fournis par un éditeur américain.

On avait remplacé une dépendance par une autre, légèrement décalée.

Deuxième problème : la gouvernance de l'exception. Quand un collaborateur signale qu'un site légitime est bloqué ou dégradé par l'isolation, qui décide de la politique d'exception ? Dans les premières semaines, les demandes remontaient au DSI directement. Insoutenable à l'échelle. Il a fallu construire un processus — définir des niveaux de confiance, des catégories de sites, des circuits de validation. Rien de très complexe, mais rien qui existait avant.

Troisième problème, le plus structurel : la compétence de questionnement. Les équipes IT de l'ETI étaient formées pour administrer des outils, pas pour évaluer des architectures de sécurité sous un angle juridictionnel. Savoir qu'une solution est « hébergée en Europe » ne suffit pas — encore faut-il savoir quelles questions poser sur les sous-traitants, les conditions de réversibilité, les engagements contractuels en cas de réquisition judiciaire étrangère.

Cette compétence-là ne s'achète pas en une formation de deux jours. Elle se construit, lentement, par accumulation d'expériences et de lectures critiques. Et elle est précisément celle que les grandes ESN américaines ont tout intérêt à maintenir hors de portée de leurs clients.

Ce que ça implique concrètement pour la RH et la gouvernance

Le DSI a tiré de cette expérience quelques conclusions qu'il formule sans détour.

Sur les recrutements : il cherche désormais, pour tout poste IT senior, des profils capables de lire un contrat SaaS de manière critique — pas seulement ses clauses de SLA, mais ses clauses de juridiction, de portabilité des données, de coopération avec les autorités. Cette compétence est rare. Elle ne figure dans aucune fiche de poste standard. Elle se détecte à l'oral, en posant des questions ouvertes sur des situations passées.

Sur la gouvernance des outils : l'ETI a instauré une revue semestrielle de ce qu'il appelle le « périmètre de confiance implicite » — les outils actifs dans le SI qui n'ont jamais fait l'objet d'une décision explicite de direction. Navigateurs, plugins, composants bundlés, connecteurs. La liste, à la première itération, était plus longue que prévu.

Sur la relation avec les prestataires européens : le DSI insiste sur un point qui mérite d'être entendu. Travailler avec un éditeur comme VirtualBrowser, c'est aussi accepter une relation différente. Moins de documentation marketing, plus d'échanges directs sur les roadmaps, sur les limites techniques, sur les choix d'architecture. C'est parfois inconfortable — on n'a pas en face de soi une équipe de trente account managers formés à lisser les aspérités. Mais c'est aussi ce qui permet de vraiment comprendre ce qu'on déploie.

La question qui dérange

VirtualBrowser lève 6 millions d'euros. C'est une bonne nouvelle pour l'écosystème européen de la cybersécurité. Mais posons la question que personne ne pose dans les communiqués : est-ce que les ETI européennes sont organisées pour évaluer, déployer et opérer ce type de solution sans retomber dans une dépendance de substitution ?

L'outil souverain ne fait pas la souveraineté. Il en crée les conditions. Le reste — les compétences internes, les processus de gouvernance, la capacité à poser les bonnes questions aux bons interlocuteurs — c'est un travail organisationnel que ni une levée de fonds ni un déploiement technique ne peuvent faire à la place des équipes.

L'ETI industrielle de cette étude de cas est sur la bonne trajectoire. Elle n'a pas terminé. Elle sait qu'elle n'a pas terminé. C'est peut-être ça, la vraie définition d'une démarche de souveraineté numérique sérieuse : non pas un état à atteindre, mais une vigilance à maintenir.