Navigateurs d'entreprise vs. RBI : Avantages, inconvénients et meilleure adaptation à l'entreprise

Par Tony Frum - Ingénieur émérite

11 septembre 2025 8 Lecture minute

TL;DR

I once believed Enterprise Browsers (EB) would revolutionize web security—quickly replacing Remote Browser Isolation (RBI), and possibly even Secure Web Gateways (SWG). After working with large enterprise customers and talking to analysts, I’ve changed my perspective. I still believe that EB may fill that role for small and medium businesses, but it may not fit as well in large enterprises.

La promesse de l'Enterprise Browser

I’ve had my eye on the Enterprise Browser (EB) market for a long time. Having worked with Secure Web Gateways (SWG) for the majority of my two decades in the security market, it’s impossible to ignore the novelty of the technology. If you’re not familiar, Enterprise Browsers generally come in two flavors – either browser extensions or entirely new browsers which are forks of the Chromium project. Both options aim to bring new security controls to the browsers in which users spend most of their workday. These controls can include secure remote access to internal applications, specialized anti-malware detection in the browser itself, encryption of locally stored browser data, and more. What intrigued me the most was the data security controls such as clipboard controls, data masking, watermarking pages, screenshot protection, and upload/download controls. In general, pushing controls down to the endpoint instead of trying to implement everything at the network level opens a lot of doors, so this is a powerful new tool in the web security world. If I’m being honest, I originally saw this as a direct threat to the SWG market as a whole.

Remote Browser Isolation

Aujourd'hui, la plupart des fournisseurs de SWG se tournent vers l'Remote Browser Isolation (RBI) pour mettre en œuvre des contrôles dans le navigateur lui-même. Comme son nom l'indique, RBI lance une instance de navigateur dans un environnement distant et isolé et charge la page demandée par l'utilisateur. L'utilisateur peut alors voir le navigateur et interagir avec lui à distance, mais aucun contenu de la page n'est chargé sur la machine locale de l'utilisateur. Étant donné que la solution RBI comprend sa propre implémentation du navigateur, des contrôles peuvent être intégrés dans la session RBI qui reflètent largement ce que les solutions EB font aujourd'hui. Cela permet de combler de nombreuses lacunes dans les contrôles basés sur le réseau, tels que le contenu illisible comme les applications épinglées par certificat, les Websockets, les encodages illisibles, le double cryptage et les événements qui ne se produisent que localement, comme le copier-coller à l'aide du presse-papiers local.

 

Le point de vue inattendu d'un analyste

Mon intérêt pour l'EB m'a poussé à m'asseoir avec un membre d'un cabinet d'analystes avec lequel nous sommes partenaires et à lui demander son avis sur cette nouvelle technologie et sur certains des fournisseurs présents sur le marché. Au cours de cette conversation, il m'a dit deux choses qui m'ont vraiment surpris. Tout d'abord, il a déclaré qu'EB était "une solution pour les PME", mieux adaptée aux petites et moyennes entreprises qu'aux grandes. Je travaille presque exclusivement avec des grandes entreprises et j'avais une vision très optimiste de ce qui était possible dans ce contexte, ce qui m'a un peu choqué. Alors qu'il commençait à expliquer ce point, il a mentionné un autre élément qui m'a surpris, à savoir le prix. Apparemment, l'achat moyen d'un EB coûte encore plus cher qu'une solution RBI par siège. Cela me paraissait impossible, car une solution RBI basée sur le cloud s'accompagne de coûts d'infrastructure importants pour faire fonctionner toutes les instances du navigateur et les coûts de transit du trafic à travers les centres de données du cloud. EB, en revanche, fait tout localement sur le poste de travail de l'utilisateur, ce qui représente un coût opérationnel proche de zéro pour le fournisseur. L'analyste a eu beau essayer, il n'a pas réussi à me faire comprendre l'une ou l'autre de ces choses. J'ai quitté la conversation en pensant qu'il devait se tromper.

Le dilemme d'un client dans le monde réel

Un an plus tard, on m'a demandé de rencontrer un de nos très gros clients qui utilise notre solution SWG depuis de nombreuses années. Il envisageait d'investir soit dans l'ajout de RBI à son déploiement SWG, soit dans l'achat d'une solution EB. Malgré ce que l'analyste m'avait dit plusieurs mois auparavant, je n'étais pas optimiste quant au fait que notre solution RBI serait la meilleure option. J'ai eu une première discussion avec le client pour clarifier ses cas d'utilisation et ses exigences, et rien n'était particulièrement unique ou surprenant. Il souhaitait pouvoir accorder l'accès aux applications "shadow IT" tout en conservant le contrôle des données en mettant en œuvre des contrôles de téléchargement, des contrôles du presse-papiers, en rendant les pages en lecture seule et quelques autres contrôles nuancés.

Un autre cas d'utilisation clé de ce client, très courant, était la gestion des sites non classés. Toutes les entreprises sont confrontées à ce problème classique qui consiste à déterminer comment gérer les sites non classés. Si vous les bloquez, vous vous retrouvez avec une augmentation des demandes d'assistance, car aucun fournisseur ne catégorise parfaitement, et vous bloquerez donc inévitablement certains sites légitimes. En revanche, si vous les autorisez, vous vous exposez à un risque important, car la majorité des menaces proviennent de sites non classés. Les entreprises ont presque toujours besoin d'un moyen d'autoriser les sites non classés tout en maintenant la sécurité, et c'est ce dont ce client avait besoin.

Tout au long de mon engagement avec cette grande entreprise cliente, j'ai été obligé de peser le pour et le contre de ces deux technologies de leur point de vue. À l'inverse, en raison des commentaires de l'analyste, je n'ai cessé d'envisager les choses du point de vue d'une petite entreprise. En fin de compte, je me suis rendu compte que j'avais tort et que l'analyste avait parfaitement raison !

Le point de vue d'une petite entreprise

Put yourself in the shoes of a small business of 50-100 employees and consider the challenge of deploying a SWG solution. Such an organization is most likely looking for some very basic controls and a basic level of security. They may have an “IT guy” with some basic knowledge but no serious networking or security expertise. Their infrastructure may lack some key components that are necessary for a successful SWG deployment as well. Now, contrast that with EB. It would be pretty straightforward to push out a new browser app to 100 endpoints, and it could not only eliminate your need to deploy SWG and RBI but also a Zero-Trust Network Access (ZTNA), or “Private Access”, solution. This represents a simple, effective alternative to SWG and, possibly, RBI and ZTNA which might justify such a high price point for a relatively small user base.

La réalité d'une grande entreprise

Now consider this from the perspective of an enterprise with hundreds of thousands of endpoints, a team of networking experts, a team of security experts, and all the infrastructure that goes along with being a huge enterprise. This changes things entirely. First, let’s assume that such an organization did deploy an EB solution. Deploying to, potentially, hundreds of thousands of endpoints is no small task and hundreds of thousands of users would have to be educated to use this new browser. Additional controls may also have to be in place to prevent them from using non-enterprise browsers for sites where EB controls need to be applied.

Another thing you might not consider is that large enterprises tend to standardize on a single browser such as Google Chrome, and part of their procurement process is to ensure that all the tools they acquire support their chosen browser. How are they to do this with an obscure EB solution? Does Jira officially support my EB of choice? What about the hundreds of other tools our organization uses? This quickly becomes untenable. What’s worse,a large enterprise can’t simply ignore non-browser based HTTP traffic such as requests from a thick client like Microsoft Teams, Google Drive, Slack, and others. This means that even if the EB solution did solve a lot of their use cases, they cannot use it as a SWG replacement.

Et si ce client déployait RBI au lieu d'EB pour réaliser ses cas d'utilisation ? Le déploiement serait certainement plus simple, car RBI n'est en fait qu'une fonctionnalité de SWG qu'il possède déjà. Si vous utilisez une solution SWG digne de ce nom, le déploiement de RBI devrait être un simple processus d'achat d'une licence et d'activation de la fonctionnalité. Vos points d'extrémité envoient déjà leur trafic web au SWG, il n'est donc pas nécessaire de toucher à vos milliers de points d'extrémité. Vos utilisateurs n'auront pas besoin de beaucoup de formation, voire aucune, pour votre solution RBI, car elle est généralement conçue pour être très transparente pour l'utilisateur. Même si vous souhaitez que l'utilisateur sache ce qui se passe, il est généralement possible de lui présenter une fenêtre contextuelle personnalisée expliquant qu'il utilise une session isolée et quels contrôles peuvent être appliqués. Si votre solution SWG utilise un RBI basé sur le cloud, comme c'est souvent le cas, aucun changement d'infrastructure n'est nécessaire. Le RBI étant généralement utilisé de manière sélective, vous ne l'appliquerez probablement pas à vos applications de confiance utilisées par votre organisation, ce qui vous dispense probablement de tester ces outils dans votre solution RBI.

Une protection contre les logiciels malveillants à toute épreuve

One last thing to consider is the catch-22 uncategorized website problem that most large enterprises need to solve. Enterprise Browsers bring improvements to web security by looking for web threats within the browser DOM itself. This allows them to find obfuscated threats after they’ve been delivered and deobfuscated within the DOM. This definitely provides an elevated level of protection for all content loaded in the EB. However, RBI fully isolates the endpoint from the website content. It’s not elevated protection. It’s basically bulletproof protection against malware. Sure, the user can still be tricked by social engineering, but that can be addressed by coaching the user that a page is risky, making the page read-only, preventing uploads or logins, and other similar controls. However, there’s basically no way the endpoint can be compromised by malware via RBI. This empowers customers to allow, but isolate, uncategorized websites without increasing their risk of compromise.

Accès des contractants et des tiers

À ce stade, vous vous dites peut-être : "Ce type ne tient pas compte du scénario de l'entrepreneur tiers", qui est un cas d'utilisation courant pour EB. Dans ce cas de figure, vous souhaitez accorder à un utilisateur extérieur à votre entreprise la possibilité d'accéder à vos applications internes et privées à partir d'un appareil qui n'est pas géré par votre entreprise. Vous souhaitez accorder cet accès tout en sécurisant vos données et en limitant l'accès de l'utilisateur à ce dont il a besoin. Oui, il s'agit d'une considération supplémentaire, mais ce même paradigme EB vs. RBI existe également dans cette situation. La plupart des solutions ZTNA complètes comme la nôtre offrent un accès "sans client" aux applications privées, et elles peuvent également appliquer le RBI à ces sessions sans client pour pousser les contrôles d'accès aux données jusqu'à un point final non géré. C'est plus simple et plus transparent que de demander à une personne tierce d'installer une application ou une extension de navigateur supplémentaire pour accéder aux données.

Classification et connaissance des données

Une dernière considération concerne la classification et la connaissance des données. Les solutions EB sont encore une technologie quelque peu naissante et les fournisseurs ne disposent généralement pas de capacités avancées de classification des données. La plupart d'entre eux utilisent une approche relativement rudimentaire basée sur des expressions régulières pour la classification des données. Les fournisseurs d'ESS matures qui proposent des solutions SWG et RBI ont toutefois tendance à disposer de technologies beaucoup plus robustes, telles que Exact Data Match (EDM)l'Indexed Document Matching (IDM)la reconnaissance optique de caractères (OCR)la classification basée sur l'IA, et bien d'autres encore.

Customers tend to be heavily invested in these classification mechanisms and have already implemented mature processes around data classification and incident management in these solutions.  This data awareness is often available within isolated sessions which is why the native RBI capability of an incumbent SSE solution might be more attractive than a disjoint EB solution.

Conclusion

En fin de compte, comme c'est souvent le cas, le fait d'être obligé de voir notre technologie à travers l'objectif du client m'a permis d'apprendre des choses que je n'aurais pas apprises autrement. Les navigateurs d'entreprise sont une technologie vraiment innovante et très prometteuse, et je suis impatient de voir où elle va évoluer. Cependant, pour les grandes entreprises, il est assez clair que RBI sera souvent la meilleure option, du moins pour le moment. 

Retour à Blogs