Pour des raisons de sécurité et de confidentialité, les entreprises hésitent à déployer Microsoft Copilot. Avant que les organisations puissent tirer parti de Copilot, elles doivent d’abord surmonter divers défis en matière d’opérations et de conformité réglementaire. Voici les conseils pour les lecteurs de Solutions numériques & cybersécurité de Jérôme Soyer, vice-président avant-vente pour l’Europe de l’Ouest chez Varonis.
Microsoft décrit Copilot comme associant la puissance des grands modèles linguistiques (LLM) aux données de toute organisation dans le flux de travail, transformant les mots en un outil de productivité puissant. Il fonctionne avec les applications Microsoft 365 (M365) les plus utilisées telles que Word, Excel, PowerPoint, Outlook, Teams, etc. Copilot fournit une assistance intelligente en temps réel, permettant aux utilisateurs d’améliorer leur créativité, leur productivité et leurs compétences.
Copilot permet d’indexer les données d’une entreprise et d’en tirer des leçons, optimisant ainsi la productivité des employés et valorisant les données accumulées depuis des années.
Les risques potentiels
Deux principaux risques sont associés à l’utilisation de Copilot :
- Accès aux données inappropriées : Copilot s’appuie sur les autorisations utilisateur existantes pour déterminer les données auxquelles une personne peut accéder. Si les autorisations ne sont pas correctement configurées, des utilisateurs pourraient accéder à des informations sensibles de manière inappropriée.
- Création de nouveaux contenus sensibles : Copilot facilite la création de nouveaux contenus basés sur des informations sensibles. Par exemple, en demandant un résumé d’un projet spécifique, il pourrait inclure des données critiques nécessitant une protection renforcée.
Mesures à prendre avant et après le déploiement de Copilot
Pour déployer Copilot en toute sécurité et minimiser les risques, il convient de suivre les phases suivantes :
Phase 1 : Avant le déploiement de Copilot
- Améliorer la visibilité des données
- Objectif : Savoir quelles données sont en votre possession, où elles sont stockées, et comprendre leur importance.
- Action : Utiliser des outils de surveillance pour identifier les points faibles dans l’application des contrôles.
- Ajouter et corriger les étiquettes de sensibilité
- Objectif : Assurer une protection appropriée des données grâce à des étiquettes de sensibilité.
- Action : Utiliser Microsoft Purview pour appliquer des étiquettes précises aux fichiers sensibles.
- Corriger l’exposition à haut risque
- Objectif : Réduire les autorisations à haut risque.
- Action : Adopter un modèle Zero Trust pour garantir que les données ne sont accessibles qu’à ceux qui en ont besoin.
- Vérifier l’accès aux données critiques
- Objectif : Localiser les données critiques et vérifier leur sécurité.
- Action : Assurer que ces données ne sont pas exposées ou mal stockées.
- Corriger les accès à risque supplémentaires
- Objectif : Utiliser l’automatisation pour maintenir les politiques d’autorisation.
- Action : Appliquer des processus automatisés pour corriger les risques ou les accès obsolètes.
Phase 2 : Après le déploiement de Copilot
- Activer la DLP en aval avec Purview
- Objectif : Protéger les données avec des mesures de prévention flexibles.
- Action : Utiliser Purview pour appliquer des contrôles tels que le chiffrement et des restrictions d’accès.
- Surveiller en continu via l’usage d’alertes
- Objectif : Surveiller l’utilisation des données sensibles pour réduire les délais de détection (TTD) et de réaction (TTR).
- Action : Mettre en place des systèmes de surveillance continue et d’alertes.
- Automatiser les politiques de contrôle d’accès
- Objectif : Assurer une gestion régulière et automatique des accès.
- Action : Mettre en œuvre des processus automatisés pour gérer l’accès aux données de manière continue.
En s’appuyant sur la puissance des LLM et de l’IA générative, Microsoft Copilot peut augmenter la productivité de tous les employés et optimiser la valeur du volume colossal de contenu généré par les équipes depuis des années. Cependant, plus le pouvoir est grand, plus les risques sont importants. Si une organisation ne respecte pas les étapes décrites dans ce guide, les outils avancés d’IA générative peuvent exposer les données sensibles et en générer davantage, ce qui peut entraîner des risques de perte, de vol et d’utilisation abusive des données.
Jérôme Soyer