Microsoft Copilot pour Microsoft 365 est un moteur GenAI sophistiqué conçu avec des composants entrelacés, tels que des modèles de grande langue (LLM), du contenu Microsoft Graph (courriels, clavardages et documents) et des applications Microsoft 365 essentielles (Word, Excel et PowerPoint). Cet assistant numérique transformateur offre aux utilisateurs une productivité inégalée axée sur l’IA, offrant des réponses personnalisées, pertinentes et exploitables. Copilot révolutionne l’efficacité et améliore l’expérience utilisateur. Cependant, vous devez mettre en œuvre cet assistant numérique révolutionnaire avec prudence pour atténuer les risques potentiels d’exposition aux données sensibles.

Considérations relatives à la sécurité des données associées à Copilot pour Microsoft 365

Comme tout outil GenAI, Copilot présente certains défis, notamment l’hallucination, la confidentialité des données, l’exactitude des données et la préparation des données. La force de Copilot réside dans son engagement à préserver les droits d’accès des utilisateurs. Il fonctionne avec diligence dans les limites des fichiers et des documents auxquels les utilisateurs peuvent accéder. Cependant, si des documents et des fichiers sensibles sont partagés de manière excessive, Copilot peut y accéder par inadvertance et générer des réponses qui révèlent des renseignements confidentiels.

Si votre organisation envisage une mise en œuvre de Copilot, il ’est important de tenir compte des considérations de classification des données :

Exposition interne des données confidentielles. Copilot a accès aux courriels, aux clavardages, aux documents et à d’autres données. Si des données confidentielles sont involontairement accessibles à un public plus large au sein de votre organisation, elles peuvent exposer des données sensibles à des utilisateurs non autorisés. Lorsque des initiés malveillants ou des auteurs de menaces exploitent des données facilement accessibles, cela peut entraîner des pertes financières, une responsabilité juridique et des dommages à la réputation.

Étiquettes de sensibilité incorrectes. Le non-respect des bonnes pratiques d’étiquetage de sensibilité expose vos données sensibles à une mauvaise manipulation potentielle et à des violations de données. Le contenu généré par Copilot amplifie ce risque parce qu’il hérite des étiquettes des fichiers référencés. Le défi consiste à maintenir un étiquetage cohérent et à limiter l’exposition non autorisée aux données sensibles.

Vous devriez également tenir compte des aspects de conformité de l’accès des utilisateurs et des points de terminaison :

Menaces internes. Les personnes au sein de votre organisation qui ont accès aux données et aux systèmes posent des menaces internes, que ce soit intentionnellement ou non. Ils peuvent nuire à votre organisation en volant des données, en supprimant des fichiers ou en accordant un accès non autorisé au système à des parties externes. Copilot respecte les autorisations d’accès des utilisateurs, mais sans des autorisations d’accès correctement mises en œuvre, il pourrait accéder à des informations non autorisées. Cet accès augmente le risque de fuites de données confidentielles ou de propriété intellectuelle (PI). Pour protéger votre organisation, mettez en œuvre des mesures de sécurité robustes comme le contrôle d’accès basé sur les rôles (RBAC), la surveillance et la journalisation.

Exfiltration des données. L’exfiltration de données est le transfert non autorisé de données au-delà des frontières d’une organisation. Il pose des risques comme la perte d’information, le vol de propriété intellectuelle et les préjudices financiers. Les utilisateurs de Copilot peuvent stocker ou partager involontairement des données sensibles dans des endroits non autorisés. Pour préserver l’intégrité des données et prévenir l’exfiltration, mettez en œuvre des mesures de sécurité robustes comme l’authentification multifacteurs (AMF) pour assurer la sécurité des terminaux et la conformité aux politiques de l’entreprise. Vous devriez également envisager de déployer des systèmes de surveillance en temps réel et de désactiver l’accès au stockage amovible.

Pratiques exemplaires pour profiter pleinement des avantages du Copilot

Pour éviter la surexposition des données de votre entreprise tout en profitant des avantages complets de Copilot en matière de productivité, envisagez les meilleures pratiques suivantes :

Évaluer les classifications de sensibilité des données. Comprendre et classer le niveau de sensibilité des données de votre organisation en utilisant des catégories comme public, interne, confidentiel et hautement confidentiel. Définissez ensuite les autorisations d’accès et les contrôles de sécurité appropriés. Lorsque vous utilisez un fichier existant comme source dans votre invite, Copilot identifie son étiquette de sensibilité et affiche cette étiquette dans sa réponse. Les étiquettes de sensibilité incorrectes doivent être changées.

Effectuer une vérification approfondie des locataires. Effectuez une vérification approfondie de votre locataire Microsoft 365 pour identifier les emplacements de données sensibles. Des outils comme ’le lecteur de données Purview (DLP) de Microsoft et le Centre de conformité Microsoft 365 vous aideront à découvrir et à classer ces données. Passez en revue les autorisations d’accès aux fichiers et aux dossiers dans SharePoint, OneDrive, Exchange Online et Teams. Les administrateurs de Microsoft 365 peuvent évaluer l’accès au site SharePoint et, après avoir déterminé si un site doit être accessible à tous les employés (public) ou à un groupe sélectionné (privé), réinitialiser les autorisations.

Mettre en œuvre des politiques de gouvernance des données robustes. Établir des politiques de gouvernance des données claires et exécutoires qui définissent les procédures de traitement des données, les périodes de conservation et les niveaux d’accès appropriés. Assurez-vous que tous les employés connaissent et respectent ces politiques. Il minimise l’utilisation abusive des données. Vous pouvez régir la classification des fichiers en étiquetant automatiquement tous les fichiers enregistrés à certains endroits confidentiels. Tous les fichiers stockés hériteront d’une étiquette de sensibilité par défaut, ce qui s’assurera qu’ils ’ne seront accessibles qu’aux bons utilisateurs.

Assurer une surveillance et une vérification vigilantes. Surveiller continuellement les activités des utilisateurs et les événements système liés à l’accès aux données, aux transferts et aux violations potentielles de la sécurité. Les journaux de vérification Microsoft 365, les journaux de vérification Azure Entra ID et les outils de sécurité tiers permettent une surveillance complète. Une vérification régulière améliore votre capacité à détecter et à réagir rapidement aux activités suspectes.

Tirer parti des règles de prévention des pertes de données. Utilisez les règles de prévention des pertes de données dans Microsoft Purview pour détecter, surveiller et prévenir la transmission de données sensibles sur des plateformes comme le courriel, SharePoint et Teams. Des politiques de prévention des pertes de données intégrées sont disponibles, ou vous pouvez créer des politiques personnalisées pour votre organisation. Vous pouvez protéger les renseignements personnels en ajoutant des types de renseignements sensibles dans Microsoft Purview. Les options comprennent les services bancaires, financiers, informatiques, des RH, fiscaux, médicaux, juridiques et de PI.

Microsoft 365 Copilot est une technologie transformatrice qui améliore la collaboration et la productivité. Cependant, la sécurité des données est primordiale. Pour exploiter le plein potentiel de Copilot tout en offrant une sécurité robuste, vous devez protéger les données de manière proactive. Des évaluations régulières de la sécurité, une formation continue des employés et le respect des pratiques exemplaires de l’industrie sont des piliers essentiels d’une stratégie efficace de sécurité des données. Si vous comprenez et abordez les risques associés à Copilot, votre entreprise peut tirer profit de ses avantages sans compromettre l’intégrité et la confidentialité des actifs de données.

Faites passer la productivité ’de votre organisation au niveau supérieur. Réservez une consultation gratuite de Microsoft 365 Copilot  avec des experts de NTT DATA pour évaluer votre préparation aux données, la sécurité des données, la sécurité des points d’extrémité et la gouvernance de l’accès.