BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 11 juin 2026

Extensions de navigateur dans votre PME : le risque que personne ne surveille

Convertisseurs PDF, outils de capture d'écran, assistants IA : les extensions de navigateur s'infiltrent dans votre organisation. Comment savoir en une heure ce qui est installé et ce qui doit partir.

Demandez à cinq collègues quelles extensions de navigateur ils ont installées. Vous obtiendrez probablement des réponses du type « euh… ce truc pour les PDF ? » et « un truc d'IA, je crois ». Ce n'est pas un reproche — c'est exactement comme ça que fonctionnent les extensions. Elles s'installent via un bon tuyau d'un collègue, une suggestion de ChatGPT ou un bouton sur un site web. Et ensuite elles vivent là pendant des années, avec accès à tout ce que vous faites dans votre navigateur.

Pour une PME sans département informatique interne, c'est un angle mort que vous pouvez largement combler en une heure tranquille. Voici comment.

Pourquoi les extensions représentent un risque sérieux

Une extension de navigateur a, selon ses permissions, accès à :

  • le contenu de chaque page que vous visitez (y compris votre comptabilité, vos e-mails, votre système client) ;
  • ce que vous tapez (y compris les mots de passe que vous ne stockez pas dans un gestionnaire) ;
  • les cookies — donc aussi vos sessions connectées ;
  • dans certains cas, vos téléchargements, favoris et historique.

Ce n'est pas forcément problématique si le développeur est de confiance. Le problème : une extension populaire peut être rachetée par un nouveau propriétaire, qui peut ajouter via une mise à jour des publicités, du tracking ou carrément des logiciels malveillants. Ce n'est pas un scénario théorique ; cela s'est produit des dizaines de fois ces dernières années. Vous avez installé un outil propre aujourd'hui, et demain c'est une fuite de données — sans avoir rien cliqué.

Trois types d'extensions que l'on trouve dans une PME

1. Les petits utilitaires

Fusionneurs de PDF, outils de capture d'écran, sélecteurs de couleurs, gestionnaires d'onglets. Souvent gratuits, souvent avec des permissions agressives (« lire et modifier toutes vos données sur tous les sites web »). Beaucoup de gens les installent une fois et ne les utilisent plus jamais.

2. Les assistants IA

Ces dix-huit derniers mois, c'est le groupe qui croît le plus vite. Résumeurs, aides à la rédaction, « IA partout ». Certains envoient littéralement le contenu de chaque page que vous ouvrez vers un serveur externe. Pour un cabinet d'avocats ou un expert-comptable, c'est un problème GDPR de taille.

3. Les outils de travail légitimes

Gestionnaires de mots de passe, outil de visioconférence, plugin CRM. Ceux-là, vous voulez les garder — mais même ici : uniquement via le store officiel, uniquement depuis le vrai fournisseur (des versions frauduleuses circulent).

Le grand nettoyage : une heure de travail

Planifiez une courte session avec votre équipe — par exemple lors du prochain point d'équipe du vendredi. La démarche :

  1. Tout le monde ouvre son gestionnaire d'extensions. Dans Chrome/Edge : chrome://extensions ou edge://extensions. Dans Firefox : about:addons.
  2. Faites une liste par personne de ce qui est installé, en notant les permissions (« peut lire toutes vos données… »).
  3. Supprimez tout ce que vous ne reconnaissez pas ou n'avez pas utilisé dans les six derniers mois. Un doute = suppression. Vous pourrez toujours le réinstaller.
  4. Vérifiez les extensions restantes : l'éditeur est-il correct, le nombre d'utilisateurs est-il cohérent, quand a eu lieu la dernière mise à jour ? Une extension non mise à jour depuis deux ans est un signal d'alarme.
  5. Documentez ce que vous autorisez. Une simple liste « ces extensions sont approuvées pour les navigateurs professionnels » est bien plus efficace qu'un épais document de politique que personne ne lit.

Évitez que tout redevienne le bazar en trois mois

Un nettoyage ponctuel aide, mais sans règles claires, tout recommence. Ce qui fonctionne en pratique pour les petites équipes :

  • L'approche deux navigateurs. Un navigateur pour le travail, un pour le privé/l'expérimentation. Ça paraît fastidieux, mais ça fonctionne étonnamment bien. Edge pour le travail, Firefox pour le reste, ou l'inverse.
  • La règle « demande d'abord ». Avant d'installer une nouvelle extension, un message dans le chat d'équipe. Pas de processus d'approbation formel — juste rendre la chose visible.
  • Répéter deux fois par an. De préférence en même temps que votre audit d'accès. Même moment, même réflexe : qu'est-ce qui tourne chez nous, au fait ?
  • Envisager un navigateur géré. Vous travaillez dans Microsoft 365 ? Vous pouvez alors imposer centralement via Edge for Business quelles extensions sont autorisées ou non. Ça évite de compter sur la discipline individuelle.

Spécifiquement pour ceux qui travaillent avec des données clients

Vous traitez des données personnelles, des données financières ou des informations médicales ? Traitez alors les extensions de navigateur comme un sous-traitant. Un résumeur IA qui envoie le contenu d'un dossier patient ou d'un bilan vers un serveur externe constitue un traitement que vous devez être en mesure de justifier. Pour la plupart des extensions gratuites, c'est impossible — donc à proscrire.

Il en va de même pour les extensions qui surveillent vos e-mails (pensez aux « pixels de tracking », aux « assistants de rédaction dans Gmail », aux « modèles d'e-mails »). Dès qu'un tel outil peut lire votre boîte de réception, il accède également aux données que vos clients vous confient.

Que faire si vous trouvez quelque chose de suspect ?

Vous tombez lors du nettoyage sur une extension que vous ne reconnaissez pas, ou qui injecte soudainement des publicités ? Supprimez-la immédiatement, déconnectez-vous des services importants et reconnectez-vous (cela renouvelle vos sessions). Changez les mots de passe des services que vous utilisez fréquemment dans ce navigateur, et activez — si ce n'est pas déjà fait — la double authentification (2FA). Cela rend inutilisable toute session éventuellement compromise.

Pour conclure

Les extensions de navigateur ne sont pas une catastrophe, mais elles représentent le maillon le plus faible de votre PME par ailleurs bien organisée. Un nettoyage par semestre et quelques règles simples suffisent à garder la situation sous contrôle. Pas de logiciel supplémentaire, pas de département informatique, pas de budget.

Vous souhaitez vous attaquer à ce sujet dans le cadre d'un audit plus large sur qui a accès à quoi ? Consultez notre audit d'accès — nous y incluons les extensions par défaut. Et si vous préférez vous y mettre seul : commencez aujourd'hui, ouvrez chrome://extensions, et regardez ce qui s'y trouve. Vous serez probablement un peu surpris. C'est exactement l'effet recherché.

Onderwerpen

#mkb #security #shadow-it #Browsers #Praktisch

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Sécurité pour les PME sans service IT : que faire ce trimestre ?

Pas d'équipe IT, mais une vraie responsabilité. Ce guide vous donne une liste de priorités : faites d'abord ceci, puis cela, puis le reste. Chaque point renvoie vers un guide approfondi.

2 min
Security zonder IT-afdeling

Simulations de phishing en PME : utile ou perte de temps ?

De plus en plus de PME envoient de faux e-mails de phishing à leurs propres équipes. Est-ce vraiment efficace, et comment s'y prendre sans plomber l'ambiance ?

6 min
Security zonder IT-afdeling

Choisir un gestionnaire de mots de passe pour votre PME : ce qui compte vraiment

Choisir un gestionnaire de mots de passe n'est pas une question de goût, mais ce n'est pas non plus rocket science. Un guide pratique pour les entrepreneurs sans service informatique.

6 min
Security zonder IT-afdeling

Surveillance de disponibilité pour les PME : ne l'apprenez pas par vos clients

Votre site est en panne et c'est un client qui vous le signale. Il y a mieux à faire. Voici comment mettre en place une surveillance de disponibilité en tant que PME sans service informatique, sans vous noyer dans les fausses alertes.

6 min
Security zonder IT-afdeling

Gestion des correctifs pour PME sans infrastructure MDM

Les correctifs doivent être appliqués. Mais comment l'imposer sans Intune ni Jamf ? Voici la configuration minimale et pragmatique.

2 min
Security zonder IT-afdeling

MFA pour tous vos SaaS, pas seulement M365 : l'opération rattrapage

M365 et Google rendent le MFA facile. Dropbox, Slack, GitHub, Trello aussi. Mais ces outils SaaS isolés ? Le MFA y est souvent absent. Voici comment combler le retard.

2 min
← Alle artikelen in "Security zonder IT-afdeling"