Microsoft Copilot : 5 conseils pour sécuriser l'accès aux données

L'arrivée de Copilot augmente les capacités de productivité, de recherche et d'accès à l'information dans l'environnement Microsoft 365 et renforce donc le besoin de bien gouverner et maitriser les accès et les partages de données dans Teams, SharePoint, OneDrive, Outlook... 

Une gestion fine des accès, des droits et des partages semble essentielle avant de déployer l'IA Copilot pour s'assurer que les utilisateurs n'aient accès qu'aux données appropriées.

Voici 5 conseils pour sécuriser l'accès aux données dans le cadre du déploiement Copilot :

1. Comprendre les données
2. Visualiser les risques sur le tenant Microsoft 365
3. Minimiser le risque de surexposition
4. Gestion des droits et des accès dans le temps
5. Conduite du changement

1. Comprendre les données

Avant de déployer Copilot, les entreprises doivent faire une analyse, une photographie de leurs données, du patrimoine informationnel. L'enjeu est de comprendre où se trouvent les données, qui manipulent les plus sensibles et stratégiques, comment les données sont partagées et qui a accès à quoi.

• Avoir une vision globale des informations de l'environnement Microsoft 365 et des ressources de chaque utilisateur : le nombre de boîtes mail partagées, de OneDrive, groupes Teams, sites Sharepoint etc. 
• Avoir une vision par typologie d'utilisateurs ou de données : selon le caractère sensible ou non des données, il est essentiel d'avoir également une vue plus micro sur les données.
  

2. Visualiser les risques sur le tenant Microsoft 365

L'analyse de risque pour le déploiement d'un outil comme Microsoft Copilot est un prérequis afin d'identifier les potentiels risques et les menaces auxquels le système d'information peut être exposé et de minimiser la surface d’attaque.

L'outil Microsoft Copilot s’appuie sur les permissions ou les politiques d'accès misent en place. Cela signifie qu'il ne proposera pas un document ou une information à une personne qui n'en n'a pas le droit. Toutefois, le risque d’un accès non autorisé, malveillant peut se produire si la configuration des droits et des autorisations n’est pas conforme.

Il faut donc avoir une attention particulière sur les accès et les autorisations grâce, par exemple, à une cartographie des accès, des droits et des permissions sur les données pour identifier les points sensibles, critiques et les corriger.

• Evaluer l'exposition de la donnée : nombre de partages anonymes, sites SharePoint et Teams publics (avec ou sans propriétaire)
• Visualiser les points d'attention, mettant en évidence un risque potentiel liés aux configurations de partages (liens anonymes, à toute l'entreprise, accès invité), d'accès, d'autorisations pour chaque ressource collectée. Exemples de points d'attention :
   
  • Invités accédant à des sites sensibles
  • Droits étendus sur des données sensibles (étiquetées avec Purview par exemple)
  • Sites SharePoint et Teams publics sans propriétaire

Visualiser les points critiques sur le patrimoine informationnel permet à l'entreprise d'y voir clair sur le risque de surexposition des données ou de non conformité des accès en vue d'établir un plan d'actions et de remédiation adéquat. 

3. Minimiser le risque de surexposition

Dans une approche "secure by design", une fois l'analyse de risque terminée, il faut être en mesure de minimiser la surface d'attaque, de remédier les points critiques.

Dans le cas du déploiement de l'outil Copilot, l'étape de nettoyage peut être pertinente pour ajuster les permissions aux bonnes personnes et s'assurer que les accès soient sécurisés et conformes, pour cela deux parties prenantes doivent être intégrées :

• Gestion des droits par les administrateurs : sur la base des résultats de l'audit fait au préalable, ils peuvent corriger les configurations des groupes, des rôles, des sites sensibles sur le principe du moindre privilège et du besoin d'en connaitre.
  
• Gestion des droits par les propriétaires de données : dans la pratique, les utilisateurs accordent quotidiennement des droits, créent des groupes, partagent... Cette volumétrie importante de données impose d'intégrer les utilisateurs, qui sont les propriétaires des données, afin de gérer les autorisations d'accès et de nettoyer autant que possible les permissions critiques, renforçant ainsi la sécurité des accès.
  Exemple d'actions par les propriétaires de données :
• • Supprimer un partage mal configuré (à toute l'entreprise ou anonyme)
  • Retirer les droits d'accès obsolètes ou illégitimes d'un site/groupe 
  • Révoquer des droits sur des fichiers sensibles
  • Vérifier les membres d'une équipe Teams dans laquelle il y a des données confidentielles

4. Gestion des droits et des accès dans le temps 

L'une des principales difficultés de cette gestion, c'est son caractère évolutif, en perpétuel mouvement. Chaque jour de nouveaux fichiers sont créés et partagés, de nouvelles autorisations sont accordées. Il faut donc pouvoir suivre l'évolution des droits dans un espace de travail de plus en plus collaboratif :

• Proposer une revue des droits à fréquence régulière : une fois par trimestre ou semestre par exemple, au delà des bénéfices sécurité et conformité, cela permet d'habituer les utilisateurs à cette démarche de revalidation des accès et des partages de leurs données et de favoriser les bonnes pratiques.
• Faites en sorte que la sécurité soit simple et efficace pour les personnes impliquées : pour les propriétaires/gestionnaires de données, il faut leur simplifier un maximum la tâche : vue simplifiée de l'ensemble des accès, la possibilité de corriger très simplement les droits obsolètes ou les accès illégitimes...

5. Conduite du changement

L'IA générative est un outil puissant et innovant qui permet des gains de productivité considérables. Pour en tirer un maximum de bénéfices il faut accompagner ces nouveaux usages avec des cas pratiques et de la formation. Il est également essentiel d'encadrer ces usages en y ajoutant des limites et en responsabilisant les utilisateurs sur les risques, notamment autour de la sécurité des données et les conséquences d'un mauvais paramétrage / partage par exemple.

La mise en place de l'outil Copilot est un gage de confiance envers les utilisateurs finaux mais elle nécessite une approche sécurisée. Pour se prémunir contre les risques de fuite de données et de malveillance, il est précieux de mettre en place une stratégie de Data Access Governance efficace dans laquelle l’utilisateur est partie prenante. Ce processus comprend l'inventaire des données, le nettoyage, l'implication des parties prenantes et la formation des utilisateurs.

DETOX pour Copilot Microsoft 365 

Avec la nouvelle solution d'audit dynamique DETOX pour Microsoft 365, nos clients ont les moyens de se préparer efficacement à l'adoption massive de l'outil IA générative Microsoft Copilot.

Il s'agit d'une solution “tout en un” dont l’objectif est d’éliminer les accès, les droits et les partages dangereux, à risques ou obsolètes, grâce à un audit dynamique sur les données partagées dans l’environnement Microsoft 365. 

La solution inclut une phase d'audit (collecte et analyse des meta données) avec une restitution via des tableaux de bord simples et clairs (état du tenant, risques, points problématiques à corriger).

La grande force de la solution DETOX est qu'elle prévoit une remédiation de masse par les propriétaires de données. Les utilisateurs, qui ont des points critiques à corriger, font l'objet d'une campagne de revalidation et de vérification des ces points. Ils reçoivent un tableau de bord personnel, MyDataSecurity, et vérifient, corrigent les points qui nécessitent une action (validation ou correction).