Tout passe par le navigateur, et c’est précisément là que les attaquants adorent se glisser. Zscaler met la main sur SquareX pour transformer chaque onglet en zone Zero Trust, avec des garde-fous en temps réel pour lutter contre le phishing, les extensions malveillantes et les fuites de données via l’IA.
Le navigateur est devenu l’interface universelle de travail dans les organisations, servant de front-end aux logiciels SaaS et aux assistants IA. Dit autrement, c’est très souvent au sein d’un onglet Chrome ou Edge que se jouent les échanges les plus sensibles. Le problème, c’est que par sa complexité, sa richesse fonctionnelle et son exposition directe à Internet, c’est aussi une large surface d’attaque qui reste difficile à maîtriser pour les équipes IT et sécurité, surtout dès qu’on sort du périmètre des postes gérés. Cette pièce maîtresse de la productivité reste l’un des angles morts les plus critiques de la cybersécurité d’entreprise. Les solutions traditionnelles (passerelles web sécurisées, VPN, infrastructures de bureaux virtuels VDI) peinent à offrir une visibilité fine sur ce qui se passe réellement à l’intérieur du navigateur. Les attaques de type phishing avancé, les extensions malveillantes ou les fuites de données via les outils d’IA échappent bien souvent aux architectures de sécurité classiques. C’est précisément ce trou dans la raquette que Zscaler veut combler en rachetant SquareX, une jeune pousse spécialisée dans la sécurité “dans” le navigateur.
Deux trajectoires qui convergent sur le même angle mort
Fondée par Vivek Ramachandran, expert reconnu en cybersécurité offensive et découvreur de l’attaque « Caffe Latte », SquareX s’est construit sur une idée simple : faire en sorte que le navigateur ne soit plus un angle mort de la cybersécurité. Elle a inventé le concept de BDR, Browser Detection & Response. Sa promesse est de transformer n’importe quel navigateur Web en navigateur d’entreprise fortifié via une extension (compatible avec Chrome, Edge, Firefox et Safari), avec des capacités de détection et de réponse centrées sur les attaques côté client, l’abus d’extensions, le phishing, mais aussi les risques de fuite de données liés aux usages d’IA générative. La startup a levé 6 millions de dollars en 2023, puis 20 millions en Série A en avril 2025.
Et l’on pouvait se douter que la jeune pousse finirait par intéresser les acteurs du Zero Trust et de la protection des accès. Elle a fini par attirer les regards de Zscaler, l’un des acteurs phares de la sécurité cloud et du Zero Trust, avec une plateforme pensée pour remplacer les approches historiques d’accès distant basées sur VPN et proposer une approche moderne et Zero Trust de la sécurité des accès et des contrôles de posture “à grande échelle”.
Sécuriser n’importe quel navigateur, sur n’importe quel appareil
En intégrant SquareX à sa plateforme, Zscaler entend apporter un niveau de sécurité supplémentaire directement intégrer au cœur des navigateurs Web. Et ceci sans imposer de navigateurs « maison » ou spécifiques afin de couvrir non seulement la protection des postes gérés par l’entreprise mais plus encore celle des appareils non gérés (BYOD) et celle des terminaux de prestataires, pour lesquels VPN et VDI restaient les seules et coûteuses options.
« Les entreprises se sont historiquement appuyées sur les VPN et les VDI, mais ces technologies sont fondamentalement défaillantes et chargées de risques de sécurité », estime Jay Chaudhry, CEO et fondateur de Zscaler. « Avec SquareX, Zscaler approfondit les capacités de notre plateforme Zero Trust Exchange dans les navigateurs standards pour stopper les menaces sans avoir à déployer un navigateur d’entreprise tiers. »
Vivek Ramachandran éclaire un peu plus l’objectif : « En s’intégrant à Zscaler, nous permettrons aux organisations de sécuriser les applications SaaS et privées sur n’importe quel appareil — géré ou BYOD — sans compromettre la productivité. Cette approche permet aux responsables IT de remplacer des outils d’accès hérités coûteux par des politiques Zero Trust précises qui protègent les données et les interactions avec l’IA en fonction du profil de risque de l’organisation. »
Pour Zscaler, cette opération comble une lacune identifiée : la plateforme Zero Trust Exchange excelle dans le contrôle d’accès réseau et applicatif, mais manquait de visibilité sur le comportement runtime à l’intérieur du navigateur.
Beaucoup d’organisations veulent ouvrir plus largement leurs applications à des prestataires, des filiales, des partenaires ou des collaborateurs en mobilité, mais elles ne veulent pas pour autant forcer le déploiement d’un agent lourd ni imposer un navigateur spécifique qui déclenche inévitablement des sujets de support, de compatibilité et de conduite du changement.
Les clients pourront désormais appliquer des contrôles en session sur des activités auparavant invisibles, comme les copier-coller, les extensions installées, les prompts IA, les téléchargements, ceci directement dans le navigateur. L’extension SquareX devient dès lors un compromis attractif, plus facile à distribuer, qui permet d’ajouter des signaux de posture et des contrôles de type DLP, tout en gardant des politiques centralisées.
Dans cette logique, SquareX n’est pas seulement une protection “anti-phishing dans le navigateur”. C’est une façon de faire entrer dans la plateforme Zscaler des contrôles de session et de comportement au plus près de l’utilisateur, là où s’exécutent les actions à risque.
Un marché qui s’accélère
L’opération s’inscrit dans une vague de consolidation sans précédent sur le segment de la sécurité du navigateur. Quelques semaines plus tôt, CrowdStrike a signé le rachat de l’israélien Seraphic Security pour environ 400 millions de dollars afin d’intégrer la protection runtime du navigateur à sa plateforme Falcon, selon une logique endpoint et SOC complémentaire à l’approche Zero Trust de Zscaler.
Palo Alto Networks avait ouvert la voie dès fin 2023 en acquérant Talon Cyber Security pour 625 millions de dollars, tandis que Fortinet a suivi avec Perception Point en 2024 et qu’Okta a finalisé le rachat d’Axiom Security en septembre 2025.
Autour de ce noyau, la concurrence s’étend aussi côté SSE et Zero Trust, avec Netskope, Cloudflare, Microsoft et Google, sans oublier des approches plus “navigation sécurisée” portées par Island (qui a levé 250 millions de dollars en Série E en 2025), Check Point (Harmony Browse), Menlo Security (Menlo Protect) ? Palo Alto (Prisma Browser) ou des offres SASE/SSE de Cisco.
Une acquisition dans l’ère du temps
Ces mouvements de consolidation autour de la sécurisation des navigateurs Web vient rappeler que ce sujet n’est plus du tout périphérique et s’impose même désormais en pilier indispensable des architectures Zero Trust. D’autant que l’adoption massive de l’IA générative, majoritairement exploitée via les navigateurs Web, fait exploser les risques de fuites de données involontaires.
Avec une extension qui permet d’embarquer des contrôles de posture et des garde-fous de session sans déployer d’agent complet, les DSI simplifient l’onboarding de populations externes et réduisent la tentation d’un retour au VDI, souvent jugé trop coûteux et trop contraignant. Même si toute extension nouvelle introduit mécaniquement une nouvelle surface de déploiement à gouverner (gestion du cycle de vie, compatibilité multi-navigateurs, politiques de confidentialité, acceptabilité côté métiers, et articulation avec les dispositifs existants DLP, CASB, ZTNA, EDR).
La bonne nouvelle, c’est que Zscaler achète ici une technologie qui vise explicitement à éviter la “boîte noire” d’un navigateur alternatif, pour rester dans les navigateurs standard, tout en ajoutant les contrôles qui manquent. C’est probablement ce pragmatisme, qui a séduit l’acquéreur.
Au passage, on notera quand même que Zscaler est sur une intense phase d’acquisitions technologiques et enchaîné ces derniers mois les rachats de Avalor (Security Data Fabric, 350 M$ en 2024), AirGap Networks (segmentation sans agent, en 2024), Red Canary (MDR, 675 millions de dollars en 2025), et SPLX (sécurisation de l’IA, novembre 2025)…
puis