Microsoft Copilot : quel impact pour la sécurité des données ?

Microsoft Copilot est une intelligence artificielle générative qui vous permet d'accéder facilement aux informations dont vous avez besoin. C'est un outil révolutionnaire pour la productivité : plus besoin de perdre du temps à rechercher des informations, à rassembler des documents relatifs à un projet. Il vous suffit par exemple de demander à Microsoft Copilot : il effectue la recherche, l'analyse et vous fournit une synthèse, un mail prêt-à-envoyer selon votre demande !

Mais cet outil présente aussi des défis pour la sécurité des données, en particulier en ce qui concerne la gouvernance des accès.

Avec plus de 2 milliards de données créées chaque jour dans l'environnement Microsoft 365, Microsoft vous conseille de vérifier que les utilisateurs ou groupes appropriés disposent de l'accès adéquat au contenu pertinent au sein de votre entreprise.

La gestion des risques liés aux accès, droits, partages est donc essentielle avant de déployer l'IA Copilot. Alors, comment préparer votre système d’information, vos données, avant d'utiliser Microsoft Copilot ? Quels sont les risques associés ? Quelles solutions pour une utilisation sereine et sécurisée ?

Au programme : 

• Copilot et le risque de surexposition des données
• Microsoft Copilot et les données sensibles
• Se préparer à Copilot : l'accès sécurisé à vos donnés

1. Copilot et le risque de surexposition des données

Microsoft Copilot est un outil d'IA générative qui permet par exemple aux utilisateurs de trouver facilement des documents pertinents pour leur travail. Mais il peut aussi exposer des données sensibles si elles ne sont pas correctement configurées (droits, stockage...).

La surexposition des données avec Microsoft Copilot est le risque principal pour la sécurité et la confidentialité du patrimoine informationnel.

En effet, l’assistant intelligent s’appuie sur des fichiers, des messages, des calendriers et des contacts avec d'autres personnes, internes ou externes à l'organisation. Cependant, si les paramètres de partages, de permissions ne sont pas correctement configurés ou contrôlés, il peut y avoir un accès non autorisé ou indésirable aux données.

Quelques exemples qui pourraient poser problèmes et entraîner des conséquences financières, juridiques ou encore en termes de réputation :

• Un document mal rangé : un plan financier, les fiches de salaires, le plan stratégique, ne devrait pas être accessible à tous sauf s’ils sont sauvegarder dans un espace où les droits sont ouverts à toute l’entreprise. Copilot pourrait le proposer à n'importe quel employé effectuant une recherche liée.
• Et peut également rendre accessible un document qu’on pensait bien caché dans des sous sous répertoires…
• Un partage mal configuré : avec un groupe trop large, un partage à toute l’entreprise, avec un invité externe

Pour éviter les risques liés à la diffusion excessive des données dans Microsoft 365, il faut adopter des stratégies et des procédures de gouvernance des données qui garantissent et régissent la protection des ressources informationnelles de l'organisation. Il faut également savoir gérer efficacement les accès, les partages et la volumétrie des données et s'assurer que l'environnement et le patrimoine informationnel sont sous contrôle. Il faut enfin contrôler régulièrement que les documents importants sont correctement sécurisés et partagés avec les destinataires appropriés.

2. Microsoft Copilot et les données sensibles 

Une des plus grandes forces de Copilot est qu’il n’outrepasse pas les permissions en place. Si un utilisateur n’a pas l’accès à un document spécifique, Copilot ne le suggérera pas, peu importe la pertinence de la demande.

Cependant, il faut être vigilant sur la configuration des droits et des autorisations, surtout pour les sites sharepoint, les groupes Teams ou les documents stratégiques ou confidentiels afin de restreindre l'accès aux informations aux personnes habilitées.

Selon le principe du Just-Enough-Access, Microsoft conseille aussi d'utiliser Microsoft Purview pour les données sensibles et de mettre en place des dispositifs de prévention de la perte de données (DLP) et de détection des activités suspectes des utilisateurs.

En effet, Microsoft Purview permet de garantir le respect des labels de classification quand Copilot interroge des documents sensibles. Pour cela, il faut avoir au préalable défini une stratégie de classification et avoir formé les utilisateurs à classer systématiquement les données confidentielles.

3. Se préparer à Copilot : l’accès sécurisé à vos données

Cette gestion fine des accès est donc un élément essentiel pour bien maitriser la sécurité et la confidentialité des données, leur exposition dans le système d’information de l’entreprise. Qui a accès ? Ces accès sont-ils bien tous conformes et légitimes ?

Quelques pré-requis pour déployer COPILOT en toute sécurité :

• Appliquer le principe du moindre privilège
• Analyser le risque de surexposition des données
• Cartographier et classifier les données sensibles (besoin d'en connaitre)
• Réviser, corriger, nettoyer les droits régulièrement
• Responsabiliser les propriétaires des groupes/ Sharepoint
• Sensibiliser, accompagner l'utilisation en interne
• Impliquer les utilisateurs dans les mécanismes de revue de droits avant une adoption massive

IDECSI accompagne ses clients dans cette révolution grâce à une action "DETOX pour Microsoft 365" pour gérer et nettoyer les permissions à risque efficacement :

• Audit & visualisation des risques
• Revue de droits et remédiation massive
• Mesure et suivi des performances de cette action DETOX

→ Discutez avec un expert IDECSI pour déployer Copilot sereinement