01
Pacote legal
Aviso CSE e AIPD pré-preenchidos fornecidos pela SYLink. Informação prévia aos colaboradores (Código do Trabalho).
Passo 01
Catálogo de produtos
Família Threat Intel
SYLink Browser
Os seus colaboradores usam IA. O SOC sabe antes da fuga.
Extensão de browser empresarial para Firefox, Chrome e Edge. O SYLink Browser deteta, localmente, fugas de credenciais, segredos e dados sensíveis para serviços públicos de IA generativa, phishing, typosquatting e usos de risco — sem nunca ler o seu conteúdo em texto claro. Apenas um hash SHA-256 e uma marca binária "segredo detetado" chegam ao SOC. Compatível com RGPD por conceção, AIPD e aviso à comissão de trabalhadores entregues prontos a assinar.
O produto, em palavras simples
Para que serve SYLink Browser
Extensão de browser empresarial para Firefox, Chrome e Edge. O SYLink Browser deteta, localmente, fugas de credenciais, segredos e dados sensíveis para serviços públicos de IA generativa, phishing, typosquatting e usos de risco — sem nunca ler o seu conteúdo em texto claro. Apenas um hash SHA-256 e uma marca binária "segredo detetado" chegam ao SOC. Compatível com RGPD por conceção, AIPD e aviso à comissão de trabalhadores entregues prontos a assinar.
A reter
SYLink Browser — Os seus colaboradores usam IA. O SOC sabe antes da fuga..
O manual técnico
Como utilizá-lo
Vigiar o browser por dentro — sem ler o conteúdo
Le navigateur est devenu l'angle mort majeur des SI : 78 % des employés en bureau utilisent au moins un assistant IA en ligne. 41 % y collent du code, 28 % des données client, 17 % des informations financières internes. Ces fuites transitent en HTTPS chiffré dans le navigateur, après le pare-feu — invisibles pour le MDM, l'EDR et la sonde réseau. Les solutions par proxy SSL ajoutent latence et complexité, et finissent par traiter vos contenus chez l'éditeur.
SYLink Browser observe le navigateur depuis l'intérieur, au moment précis où l'utilisateur fait CTRL+V dans un prompt — avant l'envoi. Le scan local cherche des secrets (cartes bancaires Luhn, IBAN mod97, clés cloud, JWT, jetons de session, clés privées PEM) et des e-mails d'entreprise dans le contenu pasté. Si un secret est détecté, deux options selon la policy : bannière d'avertissement (mode warn) ou modale de confirmation "Annuler / Envoyer quand même" (mode block). Côté SOC, seul un hash SHA-256 et un drapeau binaire remontent.
Le simple fait d'afficher la modale modifie durablement le comportement : nos déploiements montrent une réduction de plus de 65 % des alertes Shadow AI critiques entre le mois 1 et le mois 2.
Capacidades-chave
- Manifest V3 — extensão MV3 conforme as exigências mais recentes das lojas
- Deteção 100% local no browser — sem dependência de proxy SSL
- Nem URLs completos nem conteúdo em texto claro chegam ao SOC — apenas hashes e domínios registáveis
- Anti-phishing ao nível do browser (declarativo): mais rápido do que um filtro DNS empresarial
- Controlo por tenant: modos monitor / aviso / bloqueio configuráveis por módulo
- Compatível com implementação no parque via Active Directory (GPO), Intune, Workspace, MDM
Onde se posiciona o produto na sua topologia
Integração na sua rede
Extension navigateur déployée par GPO / Intune ou stores officiels sur les postes Firefox / Chrome / Edge. Détection locale des fuites Shadow AI, du phishing et du typosquatting — événements en hash-only remontés vers UniSOC. Aucun proxy SSL, aucune URL en clair.
Pipeline de implementação
Esquema de implementação
Implementação típica de 200 postos em menos de 30 minutos: assinar o aviso à comissão de trabalhadores e a AIPD pré-preenchidos, distribuir por GPO / Intune ou lojas oficiais, ativar a licença do tenant. Vaga de observação inicial em modo monitor, depois passagem a aviso / bloqueio após uma a duas semanas.
- 02
Aprovisionamento do tenant
Criar o tenant UniSOC, gerar a chave de licença, configurar 80 domínios tier-1 protegidos e os módulos ativos.
Passo 02 - 03
Implementação
GPO Active Directory, Intune, Workspace, MDM ou instalação a partir de lojas oficiais com política empresarial.
Passo 03 - 04
Fase de observação
1 a 2 semanas em modo monitor: mapear o Shadow AI real, o typosquatting recorrente e as extensões de risco no parque.
Passo 04 - 05
Passagem a aviso / bloqueio
Ativação progressiva dos modos aviso depois bloqueio, módulo a módulo, em função da maturidade dos utilizadores e das políticas do tenant.
Passo 05
- 01
Pacote legal
Aviso CSE e AIPD pré-preenchidos fornecidos pela SYLink. Informação prévia aos colaboradores (Código do Trabalho).
Passo 01 - 02
Aprovisionamento do tenant
Criar o tenant UniSOC, gerar a chave de licença, configurar 80 domínios tier-1 protegidos e os módulos ativos.
Passo 02 - 03
Implementação
GPO Active Directory, Intune, Workspace, MDM ou instalação a partir de lojas oficiais com política empresarial.
Passo 03 - 04
Fase de observação
1 a 2 semanas em modo monitor: mapear o Shadow AI real, o typosquatting recorrente e as extensões de risco no parque.
Passo 04 - 05
Passagem a aviso / bloqueio
Ativação progressiva dos modos aviso depois bloqueio, módulo a módulo, em função da maturidade dos utilizadores e das políticas do tenant.
Passo 05
↓ Pipeline de integração — passo a passo, do enquadramento à entrada em produção ↓
Pré-requisitos
- Tenant SYLink UniSOC ativo
- Capacidade de implementação no parque (GPO, Intune, Workspace, MDM ou loja empresarial)
- Avisos CSE / AIPD assinados (modelos fornecidos pela SYLink)
- Lista de domínios tier-1 a proteger (sites institucionais, bancos, fornecedores)
O que ganha em concreto
Vantagens
- 01
Shadow AI sob controlo, sem bloquear a inovação
Deteta o copiar-colar e o upload de código-fonte, dados de clientes, IBANs, números de cartão, chaves privadas e tokens para assistentes de IA públicos — no momento de colar, antes de enviar. O utilizador mantém a escolha: continuar informado ou cancelar.
- 02
Apenas hash por conceção — auditável
O conteúdo em texto claro nunca sai do browser. Apenas SHA-256 local + marca "segredo detetado". Demonstrável por auditoria do código-fonte da extensão. Sem perfilamento individual, sem scoring de comportamento dos colaboradores.
- 03
Anti-phishing e anti-typosquatting nativos
Bloqueio declarativo ao nível do browser sobre uma cache local de IOCs UniSOC (~1M+ entradas). Deteção de typosquatting por distância de Levenshtein, homógrafos (rn→m, 0→o) e punycode IDN face aos seus 80 domínios tier-1 protegidos.
- 04
Controlo central em tempo real via UniSOC
Consola multi-tenant, modos monitor / aviso / bloqueio por módulo, push de política em tempo real por WebSocket — uma alteração de administrador propaga-se sem esperar por sincronização. Implementação no parque por GPO, Intune, Workspace ou lojas oficiais.
A ficha técnica completa
Especificações
Formato e implementação
| Compatibilité | Firefox · Chrome · Edge · Brave (Manifest V3) |
| Pegada | ≈ 75 Ko · zéro impact perceptible sur la navigation |
| Distribution | Stores officiels signés · Omaha self-hosted pour GPO / Intune |
| Entrada em serviço | Déploiement parc 200 postes < 30 min via GPO / Intune |
| Licence | Inerte sans clé valide · effacement automatique si licence révoquée |
Módulos de deteção (10 módulos)
| Shadow AI detector | Paste / frappe / upload vers les services d'IA générative publics · scan local Luhn (CB), mod97 (IBAN), regex clés cloud / JWT / PEM, e-mails d'entreprise |
| Anti-phishing DNR | Blocage déclaratif au niveau navigateur sur IOC UniSOC · modes warn (bannière) ou block (page de confinement) |
| Anti-typosquatting | Levenshtein ≤ 2 · table d'homoglyphes · IDN punycode xn-- contre 80 domaines tier-1 protégés |
| Risky services | VPN publics, prise en main à distance, Tor, pools de minage, e-mails jetables, raccourcisseurs d'URL |
| Credential snooper | Champs password cachés, autofill sur champ invisible, formulaire HTTP non-HTTPS, OAuth abusif, lecture clipboard |
| Credential reuse | Hash local des MDP corporate · alerte si même hash soumis sur domaine non corporate |
| Extension blocker | Désactivation auto des extensions blocklistées ou aux permissions risquées (debugger, proxy, nativeMessaging) |
| Adblock entreprise | ≈ 150 domaines tier-1 ads / trackers neutralisés au niveau navigateur |
| Inventory | Extensions installées, cookies, destinations registrables, Shadow SaaS (par domaine, jamais par URL complète) |
| Device fingerprint | UUID device persistant + heartbeat machine (UA, plateforme, écran) — sans identification nominative |
Privacidade por construção
| Aucun contenu en clair | Hash SHA-256 local + drapeau secret_detected uniquement |
| Granularité réseau | Domaine registrable seulement (pas d'URL ni de chemin) |
| Mots de passe | Hashés localement avant comparaison · jamais transmis |
| Rétention SOC | TTL 90 jours côté UniSOC · purge automatique |
| Sans licence | Extension totalement inerte (zéro télémétrie, zéro blocage) |
| Pas de profiling salarié | Conforme RGPD art. 22 · pas de scoring comportemental individuel |
Gestão e alertas
| Console centrale | Portail UniSOC SYLink (FR) · multi-tenant |
| Policy push | WebSocket temps réel · changement admin → propagation immédiate sans attente sync |
| Modes par module | monitor / warn / block · configurable par tenant |
| Saída de eventos | API REST signée JWT · enrichissement CTI et risk score 0–100 |
| Latência | Paste → log SOC ≈ 3–5 s · paste → alerte qualifiée ≈ 2–5 min |
| Mapping ATT&CK | T1052 (exfiltration via support amovible) · T1566 (phishing) · T1539 (vol de session) |
Para quem é feito
Destinatários
Sociedade de advogados com 80 colaboradores — fuga de Shadow AI
Implementada após uma fuga documentada num escritório semelhante (excertos de alegações colados num assistente de IA público). Mês 1: 12 alertas de Shadow AI, dos quais 3 com segredos (números de processo, IBANs). Mês 6: menos de 1 alerta / mês. Comportamento alterado de forma duradoura pelo modal "Cancelar / Enviar mesmo assim".
Departamento financeiro de empresa média com 350 pessoas — concessão OAuth suspeita
Deteção de um consentimento OAuth abusivo: um colaborador permitiu que um plugin de terceiros lesse a sua drive profissional (dados contabilísticos). Sem o Browser, os dados teriam ficado acessíveis ao fornecedor do plugin durante meses. Com o Browser, alerta no próprio dia, revogação, formação.
Administração local — honeytoken + Browser
Um falso "IBAN de parceiro" colocado numa partilha SMB. Um colaborador copiou o conteúdo para um assistente de IA para "verificar o formato". O Browser revelou o hash → correspondência com o honeytoken → comportamento de risco identificado. Ação: formação, não punição.
Departamento de TI governamental — anti-phishing num parque heterogéneo
Parque ofimático sem MDM unificado, equipas administrativas habituadas a clicar. Modo bloqueio sobre a cache de IOCs UniSOC: tentativas de campanha de phishing neutralizadas ao nível do browser, sem dependência do filtro DNS do operador.
Empresa de RH / processamento salarial — RGPD crítico
Dados salariais, registos médicos, prestações sociais. Modo bloqueio em colagem de dados estruturados (IBAN, NIF/SS detetado por regex) para assistentes de IA públicos. Nenhum dado pessoal sai do browser — por construção.
I&D / indústria — código proprietário e patentes
Risco: um "resume este código" envia uma patente ainda não submetida para um serviço público de IA. O Browser interceta colagens de blocos extensos de código para domínios de IA, alerta o SOC + mostra modal ao utilizador.
Testar SYLink Browser na sua infraestrutura
Demonstração guiada de 30 minutos, PoC num perímetro-piloto, acompanhamento pelas nossas equipas francesas sediadas em Clermont-Ferrand, Marselha e Rennes.