Il y a une idée reçue tenace dans les entreprises : les cyberattaques arrivent de l’extérieur, par des vecteurs identifiables, sur des postes non protégés. La réalité de 2026 est bien différente, et bien plus inconfortable. 44 % des incidents de sécurité impliquent désormais le navigateur web (Unit 42, 2025) soit presque un incident sur deux. Et derrière ce chiffre, ce sont des gestes banals, répétés des dizaines de fois par jour par chaque collaborateur, qui constituent le vrai périmètre d’exposition des organisations, explique Antoine Damiens, product manager chez VirtualBrowser.
Voici les cinq réflexes de travail qui sont, en réalité, des portes d’entrée pour les attaquants.
1. Coller un document dans ChatGPT pour gagner du temps
Il est 17h, le collaborateur a une présentation demain matin, et trois slides doivent être reformulées. Il colle le contenu dans ChatGPT, obtient un résultat propre en trente secondes, et envoie son document. Sous un autre angle, la scène se lit différemment : la stratégie commerciale du trimestre a été transmise sur les serveurs d’OpenAI, depuis un compte personnel, sans aucune traçabilité.
Le problème n’est pas la mauvaise intention mais l’invisibilité totale de l’acte. Les solutions DLP traditionnelles ont été conçues pour surveiller les pièces jointes, les clés USB, les emails sortants. Un copier-coller dans un champ texte web est du trafic HTTPS vers un domaine autorisé donc rien ne se déclenche, aucune alerte, aucun log. 82 % des collaborateurs qui utilisent l’IA en entreprise le font avec un compte personnel (LayerX, 2025). L’usage de l’IA a été multiplié par 61 en deux ans. La donnée ne s’échappe plus par effraction mais par la porte principale, sous les yeux de tous.
2. Cliquer sur un lien reçu par DM LinkedIn
On a appris aux équipes à se méfier des emails suspects : expéditeur inconnu, fautes d’orthographe, lien bizarre. Cette formation était utile il y a cinq ans. Aujourd’hui, 40 % des campagnes de phishing ne passent plus par l’email (Hoxhunt, 2025). Elles arrivent sur LinkedIn, Teams, par SMS, des environnements où le cerveau applique des règles de confiance différentes.
Le mécanisme est précis : une IA scanne le profil public d’un collaborateur en moins de trente minutes, identifie ses centres d’intérêt, son poste exact, ses connexions. Elle génère un message parfaitement contextualisé, depuis un profil crédible avec 500 connexions. Tous les signaux de confiance sont au vert. Et le temps de réaction est quasi nul : le temps médian entre la réception d’un message de phishing et le clic est de 21 secondes (Verizon DBIR, 2025). Les phishings générés par IA obtiennent un taux de clic de 54 %, contre 12 % pour les phishings classiques (Hoxhunt, 2025). La différence ne tient pas à la technique mais au contexte fabriqué sur mesure.
3. Chercher un convertisseur PDF en ligne quand l’outil interne rame
Autre scène classique : un consultant reçoit un contrat en PDF à modifier mais l’outil interne est en maintenance, donc il tape “PDF to Word converter free” dans Google. Il clique sur le premier résultat, uploade le contrat et, dix secondes plus tard, le document a transité par un serveur dont personne dans l’entreprise ne connaît l’existence.
Ce n’est pas un comportement déviant mais de la productivité. Et c’est précisément pour cela que le Shadow SaaS est incontrôlable avec des politiques d’interdiction. Une entreprise moyenne utilise trois fois plus d’applications cloud que ce que la DSI connaît : 975 services non référencés pour 108 suivis (Auvik, 2024). 82 % des équipes IT constatent des résistances quand elles imposent les outils officiels. 54 % des jeunes employés estiment que respecter les délais pèse plus lourd que le risque de sécurité (SoSafe/Lansweeper, 2025). On ne combat pas un réflexe de productivité avec une note de service.
4. Cliquer sur le premier résultat Google pour télécharger un logiciel
“Microsoft Teams download”. Premier résultat. Lien sponsorisé. Logo officiel, URL crédible, description qui correspond. Clic. Téléchargement. Installation. Ce n’était pas Teams : c’était un ransomware.
Ce scénario s’est produit à grande échelle en 2025, ciblant Teams, AnyDesk, VLC, Slack, ChatGPT (Huntress, CrowdStrike, 2025). Le mécanisme, dit cloaking, est redoutablement simple : les attaquants achètent des espaces publicitaires Google, clonent le site officiel, et servent une version propre aux robots de vérification mais la version piégée aux vrais utilisateurs. Les fichiers sont parfois hébergés sur GitHub ou Dropbox, des domaines de confiance que les solutions traditionnelles ne bloquent pas. En 2024, une seule campagne de ce type a compromis un million d’appareils (Microsoft Security Blog, 2024). Une impression publicitaire sur 130 est aujourd’hui malveillante et on ne parle là pas de sites douteux, mais de sites que les équipes consultent chaque jour (GeoEdge, 2026).
5. Chercher une information sensible via un moteur IA sans vérifier les URLs suggérées
Le réflexe “je cherche, je clique” migre massivement des moteurs classiques vers ChatGPT, Perplexity, Copilot. Ce déplacement crée un angle mort critique : ces outils ne bénéficient pas des protections anti-phishing intégrées aux navigateurs traditionnels. Une étude Netcraft (2025) révèle que 34 % des URLs suggérées par les moteurs IA ne sont pas contrôlées par la marque recherchée. Autrement dit, un collaborateur qui demande à un moteur IA où télécharger un logiciel peut se voir suggérer une page qui ressemble à l’officielle sans que le navigateur ne lève le moindre signal d’alerte.
Aucun de ces comportements n’est irrationnel. Tous répondent à une logique de productivité, d’efficacité, de confiance dans les outils du quotidien. C’est exactement ce qui les rend si difficiles à traiter par les approches traditionnelles : la sensibilisation ne suffit pas face à un contexte conçu pour tromper, l’interdiction ne fonctionne pas face à un réflexe ancré, et les outils de protection périmétrique ne voient pas ce qui se passe dans le navigateur. Le navigateur est devenu le premier poste de travail de chaque collaborateur et le premier angle mort de la sécurité des entreprises. C’est à ce niveau que la protection doit désormais s’exercer : non pas pour bloquer l’usage, mais pour donner aux organisations la visibilité sur ce qui se passe réellement, en temps réel, pendant la navigation.
Les attaquants l’ont compris depuis longtemps, mais les défenses commencent à peine à s’aligner.
