Copilot est l’assistant de nouvelle génération de Microsoft. Cette solution s’appuie sur des techniques d’intelligence artificielle générative et est accessible notamment depuis les outils de la suite Microsoft 365. Une technologie novatrice, que les entreprises commencent à apprivoiser… et à adopter.
Utiliser Microsoft Copilot en entreprise nécessite toutefois de s’assurer que ce dernier ne fera pas fuiter de données stratégiques vers l’extérieur, ou auprès de collaborateurs ne devant pas y accéder. Si de telles données sont mal protégées, un simple prompt pourrait en effet les faire remonter, fussent-elles bien cachées.
Vos données sont-elles correctement protégées ?
Nombreuses sont les entreprises à ne pas avoir de politique de gestion des données… ou à ne pas la mettre correctement en œuvre, avec des droits d’accès mal appliqués. Jusqu’à présent, le risque restait mesuré, car le simple fait de cacher les données sensibles dans l’arborescence du système d’information les rendait dans la plupart des cas impossibles à retrouver par des utilisateurs non avertis.
Cette politique de sécurité par l’obscurité est toutefois battue en brèche par les assistants numériques intelligents. Ces infatigables chercheurs sont capables d’explorer l’ensemble des méandres du SI, afin de collecter, puis de recouper tout type d’informations.
Une phase d’analyse du système d’information, suivie des ajustements nécessaires, permettra de s’assurer que Microsoft Copilot ne pourra pas faire remonter des données mal sécurisées.
La première étape consiste à prendre conscience du problème et à y répondre avant la mise en fonction de Microsoft Copilot. Cela passe par une phase d’analyse de risque, suivie d’un audit qui permettra de définir quelles sont les données sensibles (ou soumises à des obligations réglementaires particulières). Par exemple des fiches de paye, des rapports financiers, des informations personnelles concernant les collaborateurs, des secrets industriels, des processus de fabrication, etc.
Seconde étape, déterminer où se trouvent ces données sensibles. Une information liée à une commande va être retrouvée dans l’ERP et le CRM, mais également dans des outils comme Teams, SharePoint ou encore Outlook. Et même souvent sur les postes de travail de certains commerciaux et comptables. Chacun de ces espaces devra être sécurisé de manière adéquate. Il faudra ajouter à cela un inventaire complet des espaces collaboratifs et des règles de partage qui y sont appliquées. Règles qui devront être renforcées pour les espaces collaboratifs les plus sensibles.
Définir - et appliquer - une PSSI
Les entreprises ont tout intérêt à définir une politique de sécurité des systèmes d’information (PSSI), portant notamment sur la sécurisation des données sensibles identifiées dans la phase d’audit, avec la mise en place d’une gestion des droits d’accès permettant d’en interdire la consultation par des personnes non habilitées, Microsoft Copilot inclus. Le tout appuyé de solutions de protection permettant de garantir la confidentialité de ces données lorsqu’elles sont en mouvement (par exemple au travers du chiffrement des documents joints à un e-mail).
Pour ceux ayant déjà une PSSI, il faudra s’assurer qu’elle prend en compte efficacement la problématique de la protection des données sensibles et qu’elle est correctement appliquée. Au besoin, des outils de gouvernance des données, comme Microsoft Purview, seront capables de labelliser les données sensibles, afin de s’assurer que ces dernières ne sortiront pas du périmètre autorisé. Enfin, il est essentiel de faire vivre cette gouvernance, notamment au travers d’une revue régulière des droits d’accès. Ceci évitera qu’une personne ayant changé de poste puisse accéder à des données ne le concernant plus, ou - au contraire - que Microsoft Copilot ne puisse pas accéder à des données déclassifiées.
Toutes ces actions - analyse du risque, cartographie et protection des données sensibles, gouvernance des droits d’accès - vous permettront de déployer Microsoft Copilot avec un minimum de risques… pour un maximum de bénéfices !
Hervann Allegre, Cyber Practice Leader chez TeamWork
Infrastructure, Data & IA Azure Specialist et Partner of the Year 2023 en France, TeamWork dispose d'une expertise éprouvée et certifiée sur Microsoft Azure. Découvrir notre offre
Autres articles :