Secu
VirtualBrowser, l’autre approche cyber qui isole vraiment le web de l’utilisateur
Par Thierry Derouet, publié le 12 mars 2026
Plutôt que d’empiler les couches de détection sur les postes, VirtualBrowser propose de déplacer l’exécution de la navigation web dans un conteneur distant, puis de ne renvoyer à l’utilisateur qu’un flux de pixels. L’éditeur français, certifié CSPN par l’ANSSI, défend une approche de rupture pour contenir phishing, malwares, smishing et risques d’accès tiers, sans imposer de nouvel environnement aux utilisateurs.
Le navigateur est devenu une frontière poreuse. C’est par lui que passent les usages les plus ordinaires du quotidien numérique — web, SaaS, visio, liens reçus par mail, accès de prestataires, outils d’IA générative — et c’est aussi par lui que transitent une grande partie des menaces. Chez VirtualBrowser, Édouard de Rémur résume le problème sans détour : « Aujourd’hui, notre métier, c’est de sécuriser la navigation web. »
La conviction de l’éditeur français est simple : tant que le poste de l’utilisateur reste directement exposé à l’exécution du web, la défense reste incomplète. La proposition de VirtualBrowser consiste donc à déplacer la navigation ailleurs. Non pas dans un navigateur d’entreprise de plus, ni dans un client lourd à déployer, mais dans un environnement distant et isolé. « Quand vous surfez, ce n’est plus vous qui surfez. C’est un serveur qui va se trouver dans le cloud ou n’importe où, qui vous renvoie un flux vidéo, que du pixel, et qui lui va faire toutes les opérations. »
Une rupture protocolaire plutôt qu’une couche de plus
Le principe relève du Remote Browser Isolation, mais VirtualBrowser veut se distinguer par le degré d’isolation et surtout par la transparence de l’expérience. Édouard de Rémur parle d’« une vraie rupture protocolaire ». Le poste local n’exécute plus directement le code du site ou du service visité. À chaque session, un conteneur jetable est créé, exécute les interactions web, puis est détruit. « Le serveur va créer un conteneur jetable qui va se connecter au service web ou au site web, vous renvoyer un flux de pixels, et à la fin de la session le conteneur est détruit. »
C’est là que la promesse devient intéressante pour les DSI comme pour les RSSI : la sécurité ne repose plus d’abord sur la détection d’un comportement malveillant sur le poste, mais sur le fait que ce poste n’est plus directement exposé. « La meilleure sécurité que l’homme ait inventée, c’est de déporter le risque. »
Dans un moment où les entreprises s’interrogent de plus en plus sur leurs dépendances technologiques et sur la maîtrise réelle de leurs briques critiques, cette approche fait écho à des débats plus larges sur l’autonomie numérique, comme nous l’évoquions déjà dans notre analyse sur le cloud souverain, entre sémantique et réalité technologique ou encore dans notre dossier sur la souveraineté numérique et l’heure des choix.
Une sécurité graduée selon le niveau de confiance
L’autre intérêt du produit tient au contrôle fin des droits. Comme le navigateur distant est sous maîtrise de l’entreprise, il devient possible de piloter ce que l’utilisateur a réellement le droit de faire, en fonction du site, de l’application ou du profil. « Le navigateur est dans ce conteneur, vous allez contrôler les droits d’action que vous allez autoriser en fonction des applications web ou des sites web et en fonction des personnes. »
Cette logique permet de sortir du binaire habituel du proxy : autorisé ou bloqué. VirtualBrowser pousse au contraire un modèle progressif. « Je ne connais pas, je n’ai pas confiance, vous avez que la souris. Je connais un peu plus, j’ai plus confiance, je vous mets le clavier. J’ai encore plus confiance, vous avez le download. J’ai vraiment confiance, vous allez en direct. »
Autrement dit, une URL inconnue ou non catégorisée peut être ouverte en lecture seule, sans téléchargement, sans copier-coller, sans interaction risquée, au lieu d’être simplement bloquée en attendant qu’une équipe IT statue sur son cas. Cette granularité n’est pas seulement une fonction de sécurité. Elle devient aussi un levier d’usage et de productivité.
Le navigateur comme point de contrôle des accès tiers
Le discours de VirtualBrowser déborde largement la seule navigation web. L’éditeur pousse aussi sa technologie comme une manière de contrôler les accès distants d’un prestataire, d’un partenaire ou d’un collaborateur connecté depuis un poste non maîtrisé. « Le sous-traitant se connecte à VirtualBrowser, qui lui se connecte au SI. Donc rupture protocolaire entre votre SI et le sous-traitant : il n’a que du pixel. »
L’idée est forte : l’entreprise ne se contente plus de décider qui accède à quelle application. Elle contrôle également ce qu’il est possible de faire dans cette application : lecture seule, saisie, téléchargement, impression, capture, upload. « Je partitionne les applicatifs auxquels il a accès, et je partitionne les droits d’action. »
Cette logique s’inscrit dans un mouvement plus large de durcissement des accès, nourri par les contraintes réglementaires et par la montée des risques sur les populations externes. Sur ce point, on peut relire utilement notre article sur les populations externes comme maillon faible de la sécurité, dans un contexte où NIS2 et DORA poussent précisément les entreprises à revoir leurs pratiques.
Visio, Gmail, ChatGPT : autoriser sous contrôle
L’un des aspects les plus intéressants du discours d’Édouard de Rémur est qu’il ne vend pas seulement de la sécurité : il vend aussi une manière de desserrer certaines interdictions. Là où les politiques RSSI bloquent encore souvent par défaut, l’éditeur propose d’autoriser sous contraintes.
« Il y a des gens qui bloquent ChatGPT. Nous, on leur dit : ouvrez ChatGPT, vous n’avez qu’à contrôler. Pas d’upload, vous n’autorisez que le prompt. » Même raisonnement pour Gmail : « vous mettez le clavier, par contre on a un viewer pour voir les pièces jointes à la volée, mais il n’y a pas de download et pas d’upload depuis Gmail. »
La visio constitue un autre terrain emblématique. « La perf est la clé. » Dans ce modèle, il ne suffit pas d’être sûr : il faut aussi que l’usage reste fluide. C’est ce qui permet à VirtualBrowser de défendre une solution qui ne se contente pas de bloquer, mais qui cherche à rendre possible des usages aujourd’hui jugés trop risqués.
Une promesse qui repose sur la performance
Toute la crédibilité de cette architecture repose sur un point : la fluidité. Si l’expérience utilisateur se dégrade, la promesse s’effondre. Édouard de Rémur en convient lui-même : « La perf est la clé. » Il explique que plusieurs années de R&D ont été consacrées à la compression, au fine tuning et à l’usage du GPU pour améliorer le rendu. « On a collaboré avec des laboratoires de recherche sur la compression. On a travaillé l’utilisation du matériel, notamment du GPU pour augmenter la perf. »
Cette obsession de la performance a aussi des implications économiques. L’entreprise commercialise sa solution à l’abonnement, avec une logique qui peut être calibrée à l’utilisateur ou à la session simultanée selon les cas d’usage. L’objectif est clair : sécuriser plus, sans reproduire l’empilement coûteux des briques existantes.
Une autre manière de penser la cyber
Au fond, ce que raconte VirtualBrowser est peut-être moins une nouvelle brique qu’un déplacement du raisonnement. Non plus empiler antivirus, EDR, DLP, filtrage, VPN et restrictions autour d’un poste qui continue d’exécuter le web, mais déplacer le web lui-même hors du poste, puis ne rendre à l’utilisateur qu’une surface contrôlée. « Le but du jeu, c’est de simplifier. » Et cette autre phrase, plus décisive encore : « Non seulement on élève le niveau de sécurité, puis on baisse les contraintes. »
Dans une période où les DSI cherchent à réduire la complexité, à mieux contrôler les accès tiers, à sécuriser les usages web, les outils d’IA et les environnements distants, cette approche mérite d’être regardée de près. Elle n’abolit pas tous les autres besoins de sécurité. Mais elle propose un autre point de départ.
Et c’est aussi ce qui donne un relief particulier à l’actualité récente de l’entreprise. VirtualBrowser a annoncé le 6 mars 2026 avoir remporté le Prix du Président de la République, la distinction la plus prestigieuse du Prix de la start-up du Forum InCyber, dont la remise officielle doit avoir lieu à Lille le 1er avril 2026. Quelques semaines plus tôt, la société mettait aussi en avant l’obtention de sa certification CSPN de l’ANSSI pour son produit. Deux signaux qui, au-delà de la communication, disent aussi quelque chose du moment : les approches de rupture commencent à trouver leur place dans le débat cyber européen.
Une idée trop tôt arrivée, un marché enfin mûr
VirtualBrowser est né d’une technologie récupérée lors d’un rachat, imaginée par des pionniers « beaucoup trop en avance », selon Édouard de Rémur. Le frein, à l’époque, était simple : trop de friction. Il fallait un navigateur spécifique, différent des usages habituels. Toute l’histoire récente de l’entreprise a consisté à effacer cette couture, pour rendre la solution invisible, sans agent et suffisamment performante pour être déployée à grande échelle.
Autonome depuis août 2024, la société revendique aujourd’hui 25 collaborateurs et une cinquantaine de clients. Parmi les références citées dans l’entretien : le cabinet du Premier ministre, le ministère de l’Europe et des Affaires étrangères, le ministère de l’Intérieur et Dassault Aviation. VirtualBrowser vise d’abord la France, mais aussi la Suisse, la Belgique et l’Allemagne, avec une offre disponible en cloud comme en on-premise.
À LIRE AUSSI :
