Assistants IA installés hors catalogue
Les équipes ajoutent Copilot, ChatGPT Sidebar ou des résumeurs sans validation sécurité ni owner métier nommé.
Sécurité navigateur d'entreprise
Identifiez les assistants IA, permissions cookies, accès tous sites et signaux de shadow AI avant qu'ils exposent les prompts, sessions et données client.
Le produit cible les cas où une extension IA paraît utile mais ouvre en réalité un canal d'exposition pour les sessions, prompts et données métier.
Les équipes ajoutent Copilot, ChatGPT Sidebar ou des résumeurs sans validation sécurité ni owner métier nommé.
Le droit `<all_urls>` transforme une extension pratique en point d'observation transverse sur SaaS, CRM, intranet et espaces clients.
Cookies, history, scripting, nativeMessaging ou webRequest restent souvent dispersés dans les manifests et peu visibles en revue manuelle.
Une fois tolérées, les extensions à risque restent actives pendant des mois sans date d'expiration, sans suivi ni journal d'acceptation.
Méthodologie d'évaluation des extensions IA, sources normatives et matrice de décision opérationnelle.
Les poids ci-dessous servent de base homogène pour trier les extensions et décider blocage, exception ou surveillance.
Voir la page conformité complèteL'objectif n'est pas un simple inventaire: il s'agit de produire un paquet d'aide à la décision exploitable en COPIL sécurité ou en revue de risque.
La valeur vient des cas concrets que les RSSI rencontrent déjà sur les postes Chrome, Edge ou Brave d'entreprise.
Contexte : Le poste contient ChatGPT Sidebar, Grammarly, Loom et un helper CRM interne avec accès global.
Risque lu par l'outil : Croisement entre prompts marketing, cookies SaaS et helper interne à privilèges élevés.
Décision proposée : Geler l'helper CRM, restreindre les extensions IA au catalogue autorisé et exiger un owner pour chaque usage rédactionnel.
Contexte : Les agents installent des extensions de résumé pour accélérer la lecture des tickets et des consoles back-office.
Risque lu par l'outil : Lecture possible de données clients et historique des onglets sur l'ensemble des consoles de support.
Décision proposée : Basculer vers une liste approuvée, supprimer l'accès all-sites et créer une revue mensuelle des exceptions.
Contexte : Un projet M&A déclenche une hausse soudaine d'extensions IA temporaires sur plusieurs navigateurs.
Risque lu par l'outil : Les équipes chargent des documents confidentiels dans des assistants non cadrés et multiplient les exceptions urgentes.
Décision proposée : Produire un audit flash, bloquer les nouvelles installations et n'autoriser que les extensions rattachées à un dossier validé.
Les questions ci-dessous couvrent le cadrage le plus fréquent avant un premier audit.
Aux RSSI, équipes workplace, responsables navigateur d'entreprise et responsables conformité qui doivent cadrer l'usage des assistants IA côté poste de travail.
Non pour démarrer. L'outil peut travailler à partir d'exports MDM, Chrome Enterprise, Edge Management ou de listes CSV/JSON consolidées.
L'allowlist dit ce qui est autorisé. L'audit met en évidence les permissions réellement demandées, les signaux IA et les exceptions qui dérivent avec le temps.
Non. Le score priorise, documente et homogénéise la revue, mais la décision finale de blocage ou d'exception reste portée par l'organisation.
Décrivez le parc, les navigateurs et vos outils SASE/EDR actuels. La demande est stockée et peut être routée par SMTP si configuré.