L’utilisation de Microsoft Copilot expose les entreprises à des risques de sécurité des données, notamment par des fuites potentielles dues à un accès étendu et à une classification parfois inadéquate des informations sensibles. Econocom vous aide à y voir plus clair.

Microsoft Copilot est un outil révolutionnaire pour la productivité ! Plus besoin de perdre du temps à rechercher des informations, à rassembler des documents relatifs à un projet. Demandez, Copilot fait le reste ! Votre « coéquipier », comme le nomme Pascal Van der Vennet, Business Development Director & Partner Manager Microsoft Practice, Econocom Belux, effectue la recherche, l’analyse et vous fournit une synthèse, un mail prêt-à-envoyer selon votre demande ! Mais cet outil présente aussi des défis pour la sécurité des données, en particulier en ce qui concerne la gouvernance des accès.

En effet, comme Microsoft Copilot dispose des contrôles d’accès natifs de Microsoft 365, il peut afficher les mêmes données que l’utilisateur, y compris ses documents, e-mails et notes. « Il est donc essentiel de prendre certaines précautions avant tout déploiement dans une entreprise afin de s’assurer que les données sensibles resteront sous contrôle », prévient Pascal Van der Vennet.

Le risque d’accès non-autorisés

Il existe trois principaux points de vigilance à garder à l’esprit. Microsoft Copilot s’appuie sur les permissions ou les politiques d’accès mises en place. Cela signifie qu’il ne proposera pas un document ou une information à une personne qui n’en n’a pas le droit. Toutefois, le risque d’un accès non autorisé, voire malveillant, peut se produire si la configuration des droits et des autorisations n’est pas conforme.

Concrètement, il faut être vigilant sur la configuration des droits et des autorisations, surtout pour les sites Sharepoint, les groupes Teams ou les documents stratégiques ou confidentiels afin de restreindre l’accès aux informations aux personnes habilitées. « Il faut donc avoir une attention particulière sur les accès et les autorisations grâce, par exemple, à une cartographie des accès, des droits et des permissions sur les données pour identifier les points sensibles, critiques et les corriger », invite Pascal Van der Vennet.

Classification, étiquettes…

De plus, des données peuvent être mal classifiées, or l’outil se base sur un système d’étiquettes indiquant les niveaux de confidentialité de celles-ci. Ainsi, un document mal rangé -un plan financier, des fiches de salaires, un plan stratégique- ne devrait pas être accessible à tous sauf s’il est sauvegardé dans un espace où les droits sont ouverts à toute l’entreprise ; Microsoft Copilot pourrait le proposer à n’importe quel employé effectuant une recherche liée. Autre risque : rendre accessible un document qu’on pensait bien caché dans des sous-sous-répertoires… Il suffit d’un partage mal configuré avec un groupe trop large, un partage à toute l’entreprise, avec un invité externe. « Les risques d’incidents sont bien réels, insiste Pascal Van der Vennet. Ceux-ci pourraient entraîner des conséquences financières, juridiques ou encore en termes de réputation… »

Leur sécurité dépend donc de la bonne attribution des étiquettes. Malheureusement, cette classification est rarement complète et peut souffrir d’incohérences. L’étiquetage manuel est en effet sujet aux erreurs humaines et n’est pas adapté aux énormes volumes de contenus gérés par la plupart des entreprises. En outre, la technologie d’étiquetage de Microsoft se limite à certains types de fichiers.

Enfin, les documents générés par Microsoft Copilot n’héritent pas par défaut ou automatiquement des étiquettes indiquant les niveaux de confidentialité des documents sources. Par conséquent, de nouveaux documents contenant des données sensibles peuvent être partagés avec des utilisateurs non autorisés. Or, il peut être difficile de s’assurer que tous ces documents sont correctement classifiés en raison des volumes produits par l’outil.

Gouvernance de l’accès

Il est donc crucial de renforcer les systèmes de sécurité au moment de déployer Microsoft Copilot, mais aussi de mettre en place un solide programme de gouvernance de l’accès aux données pour bénéficier d’une protection durable. Ainsi, différentes pratiques permettent de lutter contre les trois types de risques associés à son adoption et à son utilisation.

Dans un premier temps, il est primordial de mettre en place et d’appliquer le principe du moindre privilège, autrement dit le Zero Trust. Cette précaution permet de s’assurer que les utilisateurs disposent uniquement des autorisations requises pour effectuer leurs tâches, ce qui réduit considérablement le risque de fuite de données. Le processus doit permettre de passer facilement en revue les droits des différents propriétaires de données. Il doit aussi prévoir des workflows pour les demandes et approbations d’accès, ainsi qu’une visibilité sur les accès autorisés.

Cette première mesure sera renforcée grâce à la systématisation de la détection et de la classification des données. Cela permet d’améliorer la qualité de l’étiquetage pour les systèmes de stockage de données et les nouveaux contenus générés par Microsoft Copilot. La mise en œuvre de contrôles de sécurité requis pour l’ensemble des contenus est ainsi largement facilitée. Par ailleurs, un étiquetage précis des données est essentiel pour établir une stratégie de prévention des pertes de données (DLP) efficace.

Par sécurité, automatiser la réaction aux menaces

Pour réduire efficacement les risques liés à la sécurité des données, il faut automatiser les processus de détection et de réaction aux menaces potentielles. Cela implique de reconnaître rapidement les facteurs de risque touchant les données cruciales et de mettre en place des mesures automatisées pour y répondre.

Par exemple, les entreprises peuvent prévenir la compromission d’informations sensibles en révoquant automatiquement les autorisations inappropriées et en désactivant les comptes utilisateurs suspects. « De plus, enchaîne Pascal Van der Vennet, activer des alertes sur les menaces, qu’il s’agisse de tentatives de changement d’autorisation ou d’accès à des documents confidentiels, permet aux équipes de sécurité d’identifier rapidement les sources de danger et de prendre des mesures préventives pour éviter ou minimiser les dommages en cas d’intrusion. »

Cette gestion fine des accès est donc un élément essentiel pour bien maitriser la sécurité et la confidentialité des données, leur exposition dans le système d’information de l’entreprise. En somme, qui a accès ? Ces accès sont-ils bien tous conformes et légitimes ?

Une vision globale des informations de l’environnement

Cette sécurité débute en amont. Avant de déployer Microsoft Copilot, Econocom aide les entreprises à faire une analyse de leurs données, une photographie de leur patrimoine informationnel. « L’enjeu, ici, est de comprendre où se trouvent les données, qui manipule les plus sensibles et stratégiques, comment les données sont partagées et qui a accès à quoi. »

Bref, avoir une vision globale des informations de l’environnement Microsoft 365 et des ressources de chaque utilisateur : le nombre de boîtes mail partagées, de OneDrive, groupes Teams, sites Sharepoint, etc. Avoir, aussi, une vision par typologie d’utilisateurs ou de données, une vue plus micro sur celles-ci afin d’en identifier le caractère sensible ou non. « Cette quête ne refera que renforcer la résilience de l’entreprise tout en développant sa productivité et sa créativité ! », conclut Pascal Van der Vennet.