01
Pack juridique
Note d'information CSE et AIPD pré-remplies fournies par SYLink. Information préalable des salariés (Code du travail FR).
Étape 01
Catalogue produits
Famille Threat Intel
SYLink Browser
Vos employés utilisent l'IA. Le SOC vous le dit avant la fuite.
Extension navigateur d'entreprise pour les postes Firefox, Chrome et Edge. SYLink Browser détecte localement les fuites d'identifiants, de secrets et de données sensibles vers les services d'IA générative publics, le phishing, le typosquatting et les usages à risque — sans jamais lire vos contenus en clair. Seul un hash SHA-256 et un drapeau binaire "secret détecté" remontent au SOC. RGPD-compatible par construction, AIPD et note CSE livrées prêtes à signer.
Le produit, en clair
À quoi sert SYLink Browser
Extension navigateur d'entreprise pour les postes Firefox, Chrome et Edge. SYLink Browser détecte localement les fuites d'identifiants, de secrets et de données sensibles vers les services d'IA générative publics, le phishing, le typosquatting et les usages à risque — sans jamais lire vos contenus en clair. Seul un hash SHA-256 et un drapeau binaire "secret détecté" remontent au SOC. RGPD-compatible par construction, AIPD et note CSE livrées prêtes à signer.
À retenir
SYLink Browser — Vos employés utilisent l'IA. Le SOC vous le dit avant la fuite..
Le mode d'emploi technique
Comment s'en servir
Voir le navigateur depuis l'intérieur — sans lire le contenu
Le navigateur est devenu l'angle mort majeur des SI : 78 % des employés en bureau utilisent au moins un assistant IA en ligne. 41 % y collent du code, 28 % des données client, 17 % des informations financières internes. Ces fuites transitent en HTTPS chiffré dans le navigateur, après le pare-feu — invisibles pour le MDM, l'EDR et la sonde réseau. Les solutions par proxy SSL ajoutent latence et complexité, et finissent par traiter vos contenus chez l'éditeur.
SYLink Browser observe le navigateur depuis l'intérieur, au moment précis où l'utilisateur fait CTRL+V dans un prompt — avant l'envoi. Le scan local cherche des secrets (cartes bancaires Luhn, IBAN mod97, clés cloud, JWT, jetons de session, clés privées PEM) et des e-mails d'entreprise dans le contenu pasté. Si un secret est détecté, deux options selon la policy : bannière d'avertissement (mode warn) ou modale de confirmation "Annuler / Envoyer quand même" (mode block). Côté SOC, seul un hash SHA-256 et un drapeau binaire remontent.
Le simple fait d'afficher la modale modifie durablement le comportement : nos déploiements montrent une réduction de plus de 65 % des alertes Shadow AI critiques entre le mois 1 et le mois 2.
Capacités clés
- Manifest V3 — extension MV3 conforme aux dernières exigences des stores
- Détection 100 % locale au navigateur — aucune dépendance proxy SSL
- Aucune URL complète ni contenu en clair côté SOC — uniquement hash et domaine registrable
- Anti-phishing au niveau navigateur (déclaratif) : plus rapide qu'un filtre DNS d'entreprise
- Pilotage par tenant : modes monitor / warn / block configurables par module
- Compatible déploiement parc Active Directory (GPO), Intune, Workspace, MDM
Où se place le produit dans votre topologie ?
Intégration dans votre réseau
Extension navigateur déployée par GPO / Intune ou stores officiels sur les postes Firefox / Chrome / Edge. Détection locale des fuites Shadow AI, du phishing et du typosquatting — événements en hash-only remontés vers UniSOC. Aucun proxy SSL, aucune URL en clair.
Pipeline de déploiement
Schéma de mise en œuvre
Déploiement type sur un parc de 200 postes en moins de 30 minutes : signature de la note CSE et de l'AIPD pré-remplies, distribution via GPO / Intune ou stores officiels, activation de la licence tenant. Première vague d'observation en mode monitor, puis bascule warn / block après une à deux semaines.
- 02
Provisionnement tenant
Création du tenant UniSOC, génération de la clé de licence, configuration des 80 domaines tier-1 protégés et des modules actifs.
Étape 02 - 03
Déploiement
GPO Active Directory, Intune, Workspace, MDM, ou installation depuis les stores officiels avec policy enterprise.
Étape 03 - 04
Phase observation
1 à 2 semaines en mode monitor : cartographie du Shadow AI réel, des typosquatting récurrents et des extensions risquées du parc.
Étape 04 - 05
Bascule warn / block
Activation progressive des modes warn puis block, module par module, selon la maturité utilisateur et les politiques tenant.
Étape 05
- 01
Pack juridique
Note d'information CSE et AIPD pré-remplies fournies par SYLink. Information préalable des salariés (Code du travail FR).
Étape 01 - 02
Provisionnement tenant
Création du tenant UniSOC, génération de la clé de licence, configuration des 80 domaines tier-1 protégés et des modules actifs.
Étape 02 - 03
Déploiement
GPO Active Directory, Intune, Workspace, MDM, ou installation depuis les stores officiels avec policy enterprise.
Étape 03 - 04
Phase observation
1 à 2 semaines en mode monitor : cartographie du Shadow AI réel, des typosquatting récurrents et des extensions risquées du parc.
Étape 04 - 05
Bascule warn / block
Activation progressive des modes warn puis block, module par module, selon la maturité utilisateur et les politiques tenant.
Étape 05
↓ Pipeline d'intégration — étape par étape, du cadrage à la mise en production ↓
Pré-requis
- Tenant UniSOC SYLink actif
- Capacité de déploiement parc (GPO, Intune, Workspace, MDM ou store enterprise)
- Information CSE / AIPD signées (templates fournis par SYLink)
- Liste des domaines tier-1 à protéger (sites corporate, banques, fournisseurs)
Ce que vous gagnez concrètement
Avantages
- 01
Shadow AI sous contrôle, sans bloquer l'innovation
Détecte le copier-coller et l'upload de code source, données client, IBAN, cartes bancaires, clés privées et jetons vers les assistants IA publics — au moment du paste, avant l'envoi. L'utilisateur garde le choix : continuer informé, ou annuler.
- 02
Hash-only par construction — auditable
Le contenu en clair ne quitte jamais le navigateur. SHA-256 local + drapeau "secret détecté" uniquement. Démontrable par audit du code source de l'extension. Pas de profiling individuel, pas de scoring comportemental d'employé.
- 03
Anti-phishing & anti-typosquatting natif
Blocage déclaratif au niveau navigateur sur cache local d'IOC UniSOC (≈1 M+ entrées). Détection de typosquatting par distance Levenshtein, homoglyphes (rn→m, 0→o) et IDN punycode contre vos 80 domaines tier-1 protégés.
- 04
Pilotage central temps réel via UniSOC
Console multi-tenant, modes monitor / warn / block par module, push de policy en temps réel via WebSocket — un changement admin se propage sans attendre la sync. Déploiement parc via GPO, Intune, Workspace ou stores officiels.
La fiche technique complète
Spécifications
Format & déploiement
| Compatibilité | Firefox · Chrome · Edge · Brave (Manifest V3) |
| Empreinte | ≈ 75 Ko · zéro impact perceptible sur la navigation |
| Distribution | Stores officiels signés · Omaha self-hosted pour GPO / Intune |
| Mise en service | Déploiement parc 200 postes < 30 min via GPO / Intune |
| Licence | Inerte sans clé valide · effacement automatique si licence révoquée |
Modules de détection (10 modules)
| Shadow AI detector | Paste / frappe / upload vers les services d'IA générative publics · scan local Luhn (CB), mod97 (IBAN), regex clés cloud / JWT / PEM, e-mails d'entreprise |
| Anti-phishing DNR | Blocage déclaratif au niveau navigateur sur IOC UniSOC · modes warn (bannière) ou block (page de confinement) |
| Anti-typosquatting | Levenshtein ≤ 2 · table d'homoglyphes · IDN punycode xn-- contre 80 domaines tier-1 protégés |
| Risky services | VPN publics, prise en main à distance, Tor, pools de minage, e-mails jetables, raccourcisseurs d'URL |
| Credential snooper | Champs password cachés, autofill sur champ invisible, formulaire HTTP non-HTTPS, OAuth abusif, lecture clipboard |
| Credential reuse | Hash local des MDP corporate · alerte si même hash soumis sur domaine non corporate |
| Extension blocker | Désactivation auto des extensions blocklistées ou aux permissions risquées (debugger, proxy, nativeMessaging) |
| Adblock entreprise | ≈ 150 domaines tier-1 ads / trackers neutralisés au niveau navigateur |
| Inventory | Extensions installées, cookies, destinations registrables, Shadow SaaS (par domaine, jamais par URL complète) |
| Device fingerprint | UUID device persistant + heartbeat machine (UA, plateforme, écran) — sans identification nominative |
Confidentialité par construction
| Aucun contenu en clair | Hash SHA-256 local + drapeau secret_detected uniquement |
| Granularité réseau | Domaine registrable seulement (pas d'URL ni de chemin) |
| Mots de passe | Hashés localement avant comparaison · jamais transmis |
| Rétention SOC | TTL 90 jours côté UniSOC · purge automatique |
| Sans licence | Extension totalement inerte (zéro télémétrie, zéro blocage) |
| Pas de profiling salarié | Conforme RGPD art. 22 · pas de scoring comportemental individuel |
Pilotage & alerting
| Console centrale | Portail UniSOC SYLink (FR) · multi-tenant |
| Policy push | WebSocket temps réel · changement admin → propagation immédiate sans attente sync |
| Modes par module | monitor / warn / block · configurable par tenant |
| Sortie événements | API REST signée JWT · enrichissement CTI et risk score 0–100 |
| Latence | Paste → log SOC ≈ 3–5 s · paste → alerte qualifiée ≈ 2–5 min |
| Mapping ATT&CK | T1052 (exfiltration via support amovible) · T1566 (phishing) · T1539 (vol de session) |
Pour qui c'est fait
Cibles
Cabinet d'avocats 80 collaborateurs — fuite Shadow AI
Déploiement après une fuite documentée chez un confrère (extraits de plaidoirie collés dans un assistant IA public). Mois 1 : 12 alertes Shadow AI dont 3 avec secrets (numéros de dossier, IBAN). Mois 6 : moins d'1 alerte / mois. Comportement durablement modifié par la modale "Annuler / Envoyer quand même".
Direction financière ETI 350 personnes — OAuth grant suspect
Détection d'un consentement OAuth abusif : un employé a autorisé un plugin tiers à lire son drive professionnel (données comptables). Sans Browser, la donnée serait restée accessible à l'éditeur du plugin pendant des mois. Avec Browser, alerte le jour même, révocation, formation.
Collectivité territoriale — honeytoken + Browser
Une fausse fiche "RIB partenaire" placée sur un partage SMB. Un employé en a copié le contenu dans un assistant IA pour "vérifier le format". Browser a remonté le hash → match avec le honeytoken → identification du comportement à risque. Action : formation, pas sanction.
DSI collectivité — anti-phishing parc hétérogène
Parc bureautique sans MDM unifié, agents administratifs habitués à cliquer. Mode block sur le cache IOC UniSOC : tentatives de phishing campagnes neutralisées au niveau navigateur, sans dépendre du filtre DNS de l'opérateur.
Cabinet RH / paie — RGPD critique
Données salaires, dossiers médicaux, prestations sociales. Mode block sur paste de données structurées (IBAN, NIR détecté par regex) vers les assistants IA publics. Aucune donnée personnelle ne quitte le navigateur — par construction.
R&D / industrie — code propriétaire et brevets
Risque : un "résume-moi ce code" envoie un brevet avant dépôt à un service IA public. Browser intercepte les paste de blocs de code volumineux vers les domaines IA, alerte SOC + modale utilisateur.
Tester SYLink Browser sur votre infrastructure
Démo guidée 30 minutes, POC sur un périmètre pilote, accompagnement par nos équipes françaises basées à Clermont-Ferrand, Marseille et Rennes.