Navigateurs AI: Les risques de sécurité majeurs identifiés par Gartner

Selon une récente étude de Gartner, plus de 68% des organisations n’ont pas encore mis en place de politiques spécifiques pour gérer les risques associés aux navigateurs AI, une technologie pourtant de plus en plus populaire. Malgré leur attrait innovant, ces outils présentent des vulnérabilités critiques qui pourraient compromettre la sécurité des données sensibles des entreprises. Navigateurs AI : ce terme désigne désormais une nouvelle génération de navigateurs web dotés d’intelligence artificielle intégrée, capables non seulement de répondre aux requêtes des utilisateurs, mais aussi d’agir de manière autonome sur Internet.

Dans un contexte où la cybersécurité constitue une préoccupation majeure pour les organisations françaises, les récentes alertes de Gartner méritent une attention particulière. Ce cabinet de conseil international a publié un document de 13 pages dans lequel il met en garde contre l’adoption généralisée des navigateurs AI, identifiant plusieurs risques critiques qui pourraient compromettre la sécurité des données sensibles et l’intégrité des systèmes d’information.

Les risques majeurs des navigateurs AI identifiés par Gartner

Les analystes de Gartner, Dennis Xu, Evgeny Mirolyubov et John Watts, ont identifié plusieurs risques majeurs associés à l’utilisation des navigateurs AI dans un environnement professionnel. Leurs conclusions, basées sur une analyse approfondie des fonctionnalités de ces outils, soulignent des vulnérabilités qui pourraient avoir des conséquences significatives pour les organisations de toutes tailles.

Fuite de données sensibles et exposition au cloud

L’un des risques les plus préoccupants identifiés par Gartner concerne la transmission de données sensibles vers les services cloud. Selon les analystes, les paramètres par défaut des navigateurs AI privilégient souvent l’expérience utilisateur au détriment de la sécurité, entraînant l’envoi fréquent de données utilisateur confidentielles vers les serveurs des éditeurs.

“Les données sensibles des utilisateurs — telles que le contenu web actif, l’historique de navigation et les onglets ouverts — sont souvent envoyées vers l’arrière-plan AI cloud, augmentant le risque d’exposition des données à moins que les paramètres de sécurité et de confidentialité ne soient renforcés et gérés de manière centralisée et délibérée.”

Cette exposition des données est particulièrement inquiétante dans le contexte du RGPD, où toute fuite d’informations personnelles pourrait entraîner des sanctions financières sévères pour les organisations. En pratique, un employé pourrait visualiser des documents confidentiels dans son navigateur, tandis que l’assistant AI intégré analyse et transmet ces informations vers des serveurs externes, sans que l’utilisateur n’en soit pleinement conscient.

Transactions erronées et abus d’identifiants

Un autre risque majeur identifié concerne la capacité des navigateurs AI à effectuer des transactions autonomes. Selon Gartner, ces fonctionnalités “agentic” peuvent contourner les contrôles traditionnels et créer de nouveaux risques, notamment :

• Des transactions erronées de l’agent dues à des raisonnements inappropriés
• Des actions d’agent malveillantes induites par des injections de prompt indirectes
• Une perte et un abus supplémentaires d’informations d’identification si le navigateur AI est trompé pour naviguer automatiquement vers un site de phishing

Dans un contexte professionnel français, où de nombreuses entreprises utilisent des systèmes internes sensibles, la possibilité qu’un navigateur AI effectue des actions non autorisées représente un danger considérable. Par exemple, un assistant AI pourrait être manipulé pour effectuer des opérations financières frauduleuses ou accéder à des ressources internes sans autorisation.

Paramètres par défaut compromettant la sécurité

Gartner souligne également que les paramètres par défaut des navigateurs AI sont souvent conçus pour maximiser l’expérience utilisateur, au détriment de la sécurité. Ces paramètres facilitent l’utilisation des fonctionnalités AI mais créent des vulnérabilités exploitables par des acteurs malveillants.

Selon une étude récente du cabinet de conseil, environ 78% des utilisateurs n’ modifient jamais les paramètres par défaut de leurs logiciels, ce qui signifie que la grande majorité des employés utilisant des navigateurs AI seraient exposés à ces risques sans en être conscients.

Les fonctionnalités agentic: Un danger pour les entreprises

Les analystes de Gartner ont particulièrement concentré leurs recherches sur les capacités “agentic” des navigateurs AI, c’est-à-dire leur capacité à agir de manière autonome sur Internet plutôt que simplement à répondre aux requêtes des utilisateurs.

Comment les navigateurs AI naviguent-ils de manière autonome?

Contrairement aux assistants AI classiques ou aux simples automatisations de navigateur basées sur des scripts, les navigateurs AI dotés de capacités agentic peuvent :

• Analyser le contenu des pages web de manière contextuelle
• Prendre des décisions autonomes sur les actions à entreprendre
• Effectuer des transactions complexes sans intervention humaine directe
• Mémoriser et utiliser des informations pour accomplir des tâches répétitives

Ces fonctionnalités, bien que puissantes, introduisent des risques significatifs. Comme l’ont souligné les analystes de Gartner : “La capacité de transaction agentic est une nouvelle fonctionnalité qui différencie les navigateurs AI des barres de conversation AI tierces et des automatisations de navigateur basées sur des scripts simples.”

Exemples concrets: Perplexity Comet et ChatGPT Atlas

Parmi les navigateurs AI actuellement disponibles, deux modèles intègrent des capacités agentic particulièrement préoccupantes selon Gartner : Perplexity Comet et OpenAI’s ChatGPT Atlas.

Les analystes ont effectué “un nombre limité de tests utilisant Perplexity Comet”, faisant de ce navigateur leur principal point d’analyse. Ils ont toutefois précisé que “ChatGPT Atlas et autres navigateurs AI fonctionnent de manière similaire, et les considérations de cybersécurité sont également similaires.”

La documentation de Comet indique que le navigateur “peut traiter certaines données locales en utilisant les serveurs de Perplexity pour répondre à vos requêtes. Cela signifie que Comet lit le contexte de la page demandée (tel que le texte et les e-mails) afin d’accomplir la tâche demandée.”

“Cela signifie que les données sensibles que l’utilisateur visualise sur Comet pourraient être envoyées au service AI cloud de Perplexity, créant un risque de fuite de données sensibles.”

Dans un contexte français, prenons l’exemple d’un consultant travaillant sur un projet pour un client important. En utilisant Perplexity Comet pour résumer un rapport confidentiel, le consultant pourrait involontairement autoriser le navigateur à analyser et potentiellement transmettre des informations sensibles vers les serveurs externes de Perplexity. Ce scénario illustre parfaitement le risque de fuite de données associé à ces technologies.

Tableau comparatif des risques associés aux navigateurs AI

Recommandations de Gartner pour les organisations

Face à ces risques significatifs, Gartner a formulé des recommandations claires pour les organisations souhaitant protéger leurs systèmes et données sensibles.

Bloquer ou autoriser: Une question de tolérance au risque

La principale recommandation du cabinet de conseil est sans équivoque : “Gartner recommande fortement que les organisations bloquent tous les navigateurs AI pour l’avenir prévisible en raison des risques de cybersécurité identifiés dans cette recherche, et d’autres risques potentiels qui restent encore à découvrir, étant donné qu’il s’agit d’une technologie très émergente.”

Toutefois, Gartner reconnaît que certaines organisations pourraient souhaiter expérimenter ces technologies. Dans ce cas, le cabinet propose une approche différenciée :

• Les organisations avec faible tolérance au risque doivent bloquer les installations de navigateurs AI
• Celles avec une tolérance au risque plus élevée peuvent expérimenter avec des cas d’utilisation d’automatisation à faible risque, en s’assurant d’une protection robuste et d’une exposition minimale aux données sensibles

Dans le contexte français, cette approche nuancée reflète la position de nombreuses entreprises qui cherchent à innover tout en maintenant un niveau de sécurité adéquat. La CNIL, autorité de protection des données personnelles en France, a d’ailleurs publié des lignes directrices similaires concernant l’utilisation des technologies AI dans les environnements professionnels.

Mesures de sécurité pour une expérimentation contrôlée

Pour les organisations choisissant d’expérimenter les navigateurs AI dans un cadre contrôlé, Gartner propose plusieurs mesures de sécurité spécifiques :

1. Désactiver la rétention de données AI : Pour les cas d’utilisation pilotes, il est recommandé de désactiver le paramètre “AI data retention” dans Perplexity Comet afin d’empêcher Perplexity d’utiliser les recherches des employés pour améliorer ses modèles AI.

2. Suppression périodique des “mémoires” : Les utilisateurs doivent être instruits pour effectuer périodiquement la fonction “delete all memories” dans Comet afin de minimiser le risque de fuite de données sensibles.

3. Sensibilisation renforcée des utilisateurs : Même si un navigateur AI est approuvé, les utilisateurs doivent être formés pour comprendre que “tout ce qu’ils visualisent pourrait potentiellement être envoyé vers l’arrière-plan du service AI” afin de s’assurer qu’aucune donnée hautement sensible n’est active dans l’onglet du navigateur lors de l’utilisation de la barre latérale AI pour résumer ou effectuer d’autres actions autonomes.

4. Contrôles réseau et de point de terminaison : Les employés doivent être empêchés d’accéder, de télécharger et d’installer des navigateurs AI via des contrôles de sécurité réseau et de point de terminaison.

Dans la pratique, la mise en œuvre de ces mesures nécessite une coordination entre les services informatique, sécurité et conformité. De nombreuses organisations françaises ont déjà mis en place des politiques similaires pour gérer l’utilisation des outils AI dans leur environnement, reconnaissant que ces technologies introduisent des défis de sécurité uniques.

La position de l’ANSSI et autres autorités sur les navigateurs AI

Bien que Gartner soit une source internationale, sa résonne particulièrement en France où l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a récemment publié des recommandations concernant l’utilisation des technologies AI dans les environnements sensibles.

Bien que l’ANSSI n’ait pas publié de document spécifiquement dédié aux navigateurs AI, sa position générale sur les technologies d’intelligence artificielle s’aligne sur les préoccupations exprimées par Gartner. L’agence française a souligné l’importance d’une évaluation approfondie des risques avant d’adopter des solutions AI, en particulier dans les secteurs critiques.

Dans un contexte où la France cherche à devenir un leader européen de l’IA, cette approche prudente témoigne de la volonté d’innover tout en maintenant des standards de sécurité élevés. De nombreuses entreprises françaises, notamment dans les secteurs de la défense, de la santé et des services financiers, ont déjà adopté cette approche nuancée, en testant les navigateurs AI dans des environnements isolés avant toute déploiement à plus large échelle.

Vers une réglementation future des navigateurs intelligents

L’émergence des navigateurs AI intervient dans un contexte de développement rapide des réglementations sur l’intelligence artificielle, tant au niveau européen qu’international.

Le Règlement Européen sur l’Intelligence Artificielle (AI Act), actuellement en cours d’adoption, prévoit une approche différenciée en fonction du niveau de risque associé aux systèmes AI. Bien que les navigateurs AI ne soient pas explicitement mentionnés dans le texte actuel, leur capacité à traiter des données sensibles et à effectuer des actions autonomes pourrait les classer dans la catégorie des systèmes à “haut risque”, soumis à des exigences de conformité strictes.

En France, le Conseil National du Numérique (CNNum) a récemment publié des recommandations concernant l’éthique de l’IA, soulignant l’importance de la transparence, de l’explicabilité et du contrôle humain dans les systèmes d’intelligence artificielle. Ces principes sont particulièrement pertinents pour les navigateurs AI, dont les décisions autonomes pourraient avoir des impacts significatifs sur les utilisateurs et les organisations.

À l’horizon 2025, on peut s’attendre à l’émergence de cadres réglementaires spécifiques pour les navigateurs intelligents, qui pourraient inclure des exigences en matière :

• De transparence concernant le traitement des données
• De consentement explicit des utilisateurs
• De contrôle humain sur les actions autonomes
• De sécurité renforcée contre les injections de prompt et autres attaques

Ces réglementations, bien qu’encore à leurs débuts, pourraient influencer significativement l’adoption des navigateurs AI dans les environnements professionnels, en particulier dans les secteurs hautement réglementés.

Conclusion: Entre innovation et prudence, quel chemin choisir?

Face aux alertes de G concernant les risques des navigateurs AI, les organisations françaises se trouvent face à un dilemme : comment concilier innovation technologique et impératifs de sécurité? La réponse, selon les experts, réside dans une approche équilibrée qui reconnaît à la fois le potentiel transformateur de ces technologies et les risques significatifs qu’elles représentent.

En 2025, alors que l’IA continue de transformer notre façon d’interagir avec l’information et les services en ligne, les navigateurs intelligents sont appelés à jouer un rôle de plus en plus central. Cependant, comme l’ont souligné de manière convaincante les analystes de Gartner, leur adoption généralisée dans les organisations reste problématique en raison des risques de sécurité non résolus.

Pour les entreprises françaises souhaitant naviguer entre innovation et prudence, la voie recommandée par les experts consiste à :

1. Maintenir une approche prudente concernant l’adoption des navigateurs AI
2. Investir dans des solutions de sécurité avancées capables de détecter et de prévenir les activités malveillantes potentielles
3. Maintenir une veille active sur les évolutions réglementaires concernant l’IA
4. Former les utilisateurs aux risques associés aux technologies AI

Dans un contexte économique où la compétitivité dépend de plus en plus de la capacité à adopter rapidement les innovations technologiques, cette approche prudente pourrait sembler contre-intuitive. Cependant, les récents incidents de sécurité impliquant des technologies AI ont démontré que les coûts d’une mauvaise gestion de ces outils dépassent largement les bénéfices à court terme.

En conclusion, bien que les navigateurs AI représentent une avancée technologique prometteuse, leur adoption généralisée dans les organisations françaises devrait être reportée jusqu’à ce que les risques de sécurité majeurs identifiés par Gartner et autres experts soient adéquatement adressés. Entre-temps, les organisations peuvent commencer à développer des cadres de gouvernance pour l’IA, à former leurs équipes et à préparer leur infrastructure pour une intégration future de ces technologies dans un environnement de sécurité contrôlé.