Sécurité de l'IA générative : Garantir un déploiement sécurisé de Microsoft Copilot

Cet article décrit le fonctionnement du modèle de sécurité de Microsoft 365 Copilot et les risques à prendre en compte pour garantir un déploiement en toute sécurité.
Rob Sobers
6 minute de lecture
Dernière mise à jour 9 avril 2024

Microsoft Copilot est considéré comme l'un des outils de productivité les plus puissants de la planète.

Copilot est un assistant d'IA intégré à chacune de vos applications Microsoft 365 : Word, Excel, PowerPoint, Teams, Outlook, etc. Le rêve de Microsoft est de simplifier le travail quotidien et de permettre aux êtres humains de faire appel à leur créativité pour résoudre les problèmes.

Ce qui rend Copilot très différent de ChatGPT et des autres outils d’IA, c’est qu’il a accès à tout ce sur quoi vous avez déjà travaillé dans 365. Copilot peut rechercher et compiler instantanément des données à partir de vos documents, présentations, e-mails, calendriers, notes et contacts.

D'où le problème pour les équipes en charge de la sécurité de l'information. Copilot peut accéder à toutes les données sensibles auxquelles un utilisateur a accès, ce qui est souvent beaucoup trop. En moyenne, 10 % des données M365 d'une entreprise sont accessibles par tous les employés.

Copilot peut également générer rapidement de nouvelles données sensibles nettes, qui doivent être protégées. Avant la révolution de l'IA, la capacité des êtres humains à créer et partager des données a largement dépassé leur capacité à les protéger. Il suffit de regarder les tendances dans les fuites de données. L'IA générative met de l'huile sur le feu.

Il y a beaucoup à dire sur l'IA générative dans son ensemble : empoisonnement des modèles, hallucinations, deepfakes, etc. Dans cet article, cependant, je me concentrerai spécifiquement sur la sécurité des données et comment votre équipe peut garantir un déploiement sécurisé de Copilot.

Cas d'utilisation de Microsoft 365 Copilot

Les cas d'utilisation de l'IA générative avec une suite d'outils collaboratifs comme M365 sont illimités. On comprend pourquoi tant d'équipes informatiques et de sécurité cherchent à obtenir des accès anticipés pour pouvoir préparer leurs plans de déploiement. Les gains de productivité seront énormes.

Par exemple, vous pouvez ouvrir un document Word vierge et demander à Copilot de rédiger une proposition pour un client en fonction d'un ensemble de données cible qui peut inclure des pages OneNote, des présentations PowerPoint et d'autres documents de bureau. En quelques secondes, vous aurez une proposition complète.

copilot_word_gifs_web

Voici quelques exemples supplémentaires donnés par Microsoft lors de leur événement de lancement :

  • Copilot peut rejoindre vos réunions Teams et résumer en temps réel ce qui est discuté, capturer des éléments d'action et vous dire quelles questions n'ont pas été résolues lors de la réunion. 
  • Dans Outlook, Copilot peut vous aider à trier votre boîte de réception, à hiérarchiser les e-mails, à résumer les fils de discussion et à générer des réponses à votre place.
  • Dans Excel, Copilot peut analyser les données brutes et vous donner des informations, des tendances et des suggestions. 
Planifiez une démonstration personnalisée de 30 minutes avec l'un de nos experts en sécurité.
Voir Varonis en action.

Fonctionnement de Microsoft 365 Copilot

Voici un aperçu simple du traitement d'une invite Copilot :

  • Un utilisateur saisit une invite dans une application comme Word, Outlook ou PowerPoint.
  • Microsoft recueille le contexte métier de l'utilisateur en fonction de ses autorisations M365.
  • L'invite est envoyée au LLM (comme GPT4) pour générer une réponse.
  • Microsoft effectue des contrôles d'IA responsables post-traitement.
  • Microsoft génère une réponse et des commandes vers l'application M365. 

Source : https://learn.microsoft.com/en-us/DeployOffice/privacy/microsoft-365-copilotSource : https://learn.microsoft.com/en-us/deployoffice/privacy/microsoft-365-copilot 

Modèle de sécurité de Microsoft 365 Copilot

With collaboration tools, there is always an extreme tension between productivity and security.

C'est ce qui s'est produit lors de l'épidémie de coronavirus, lorsque les équipes informatiques ont rapidement déployé Microsoft Teams sans avoir pleinement compris le fonctionnement du modèle de sécurité sous-jacent ni l'état de préparation des autorisations, groupes et politiques de liens M365 dans leur entreprise. 

What Microsoft handles for you:

  • Isolement des tenants. Copilot utilise uniquement les données du tenant M365 de l'utilisateur actuel. L'outil d'IA n'affichera pas les données des autres tenants dans lesquels l'utilisateur peut être invité, ni celles des tenants qui pourraient être configurés avec la synchronisation inter-tenants.
  • Limites de l'entraînement. Copilot n'utilise aucune de vos données métier pour entraîner les LLM de base que Copilot utilise pour tous les tenants. Vous ne devriez pas avoir à vous inquiéter de voir vos données propriétaires apparaître dans les réponses faites aux utilisateurs d'autres tenants. 

What you need to manage: 

  • Autorisations. Copilot fait apparaître toutes les données organisationnelles pour lesquelles les utilisateurs individuels ont au moins des autorisations de consultation. 
  • Étiquettes. Le contenu généré par Copilot n'héritera pas des étiquettes MPIP des fichiers à partir desquels Copilot a élaboré sa réponse.
  • Êtres humains. Copilot ne garantit pas des réponses à 100 % factuelles ni sécurisées. Les êtres humains doivent prendre la responsabilité de relire le contenu généré par l'IA.

Prenons les mauvaises nouvelles une par une.

Droits

Accorder à Copilot l'accès à ce à quoi un utilisateur peut accéder serait une excellente idée, si les entreprises étaient en mesure d'appliquer facilement le principe du moindre privilège dans Microsoft 365. 

Microsoft indique dans sa documentation sur la sécurité des données de Copilot :

Il est important que vous utilisiez les modèles d'autorisation disponibles dans les services Microsoft 365, tels que SharePoint, pour vous assurer que les bons utilisateurs ou groupes disposent du bon accès au contenu approprié au sein de votre entreprise.
Source : données, confidentialité et sécurité pour Microsoft 365 Copilot

Cependant, nous savons dans les faits que la plupart des entreprises ne sont pas près d'appliquer ce principe de façon systématique. Il suffit de jeter un coup d’œil à certaines des statistiques du rapport State of Cloud Permissions Risk de Microsoft.

2500

Cette image correspond aux observations de Varonis lorsque nous effectuons chaque année des milliers d’évaluations des risques liés aux données, pour les entreprises qui utilisent Microsoft 365. Dans notre rapport, Les grands risques du SaaS, nous avons constaté que le tenant M365 moyen avait :

  • Plus de 40 millions de droits uniques
  • Plus de 113 000 dossiers sensibles rendus publics
  • Plus de 27 000 liens de partage

Comment peut-on en arriver là ? Les autorisations Microsoft 365 sont extrêmement complexes. Il suffit de penser à toutes les façons dont un utilisateur peut accéder aux données :

  • Autorisations directes pour les utilisateurs
  • Autorisations de groupe Microsoft 365
  • Autorisations locales SharePoint (avec niveaux personnalisés)
  • Accès invité
  • accès externe
  • Accès public
  • Accès par un lien (tout le monde, à l'échelle de l'entreprise, direct, invité)

Pour ne rien arranger, les autorisations sont principalement entre les mains des utilisateurs finaux, et non des équipes informatiques ou de sécurité. 

Étiquettes

Microsoft s'appuie fortement sur les étiquettes de sensibilité pour appliquer des politiques DLP, appliquer un chiffrement et éviter largement les fuites de données. En pratique, cependant, il est difficile de faire fonctionner les étiquettes surtout si vous comptez sur des êtres humains pour appliquer des étiquettes de sensibilité.

Microsoft dresse une image assez simple du fonctionnement de l'étiquetage et du blocage, comme dernier rempart de sécurité pour vos données. La réalité est tout autre. Lorsque les êtres humains créent des données, l'étiquetage est souvent à la traîne ou devient obsolète.

Le blocage ou le chiffrement des données peut compliquer le travail, et les technologies d'étiquetage sont limitées à des types de fichiers spécifiques. Plus une entreprise a d'étiquettes, plus cela peut devenir déroutant pour les utilisateurs. C'est encore pire pour les grandes entreprises.

L'efficacité de la protection des données basée sur les étiquettes va certainement se dégrader lorsque l'IA générera des données supplémentaires à un rythme exponentiel, qui auront besoin d'étiquettes précises et mises à jour automatiquement.

Mes étiquettes sont-elles correctes ?

Varonis peut valider et améliorer l'étiquetage de sensibilité des fichiers dans Microsoft pour une entreprise en analysant, en découvrant et en corrigeant les éléments suivants :

  • Les fichiers sensibles sans étiquette
  • Les fichiers sensibles avec une étiquette incorrecte
  • Les fichiers non sensibles portant une étiquette sensible
 

Être humains

L'IA peut favoriser la paresse. Le contenu généré par des LLM comme GPT4 n'est pas seulement bon, il est excellent. Dans de nombreux cas, la rapidité et la qualité dépassent de loin ce que peut faire un être humain. Par conséquent, les gens commencent à penser aveuglément que l'IA génère des réponses correctes et sécurisées à chaque fois.  

Nous avons déjà vu des scénarios concrets dans lesquels Copilot écrit une proposition pour un client et inclut des données sensibles appartenant à un autre client. L'utilisateur appuie sur « Envoyer » après avoir jeté un coup d'œil rapide (ou pas), et vous vous retrouvez avec un scénario de violation de la vie privée ou de données sur les bras.

Préparer la sécurité de votre tenant pour Copilot

Vous devez avoir une idée de l'état de votre sécurité des données avant un déploiement de Copilot. Copilot sera probablement disponible au grand public en début d'année prochaine. Il est donc temps de mettre en place vos contrôles de sécurité.

Varonis protège des milliers de clients Microsoft 365 avec notre plateforme de sécurité des données, qui fournit une visibilité en temps réel du risque et la capacité à appliquer automatiquement le principe du moindre privilège.

 

Nous pouvons vous aider à gérer les plus grands risques de sécurité avec Copilot, quasiment sans intervention manuelle. Avec Varonis pour Microsoft 365, vous pouvez :

  • Découvrir et classer automatiquement tout le contenu sensible généré par l'IA.
  • Vous assurer automatiquement que les étiquettes MPIP sont correctement appliquées. 
  • Appliquer automatiquement le principe du moindre privilège.
  • Surveiller en permanence les données sensibles dans M365 et alerter et répondre aux comportements anormaux.

La meilleure façon de commencer est de procéder à une évaluation gratuite des risques. La configuration prend quelques minutes et, en un jour ou deux, vous aurez une vue en temps réel des risques liés aux données sensibles.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

utilisez-aws-s3-en-toute-sécurité-:-guide-de-configuration
Utilisez AWS S3 en toute sécurité : Guide de configuration
Découvrez comment configurer AWS S3 de manière sécurisée Choisissez les commandes de chiffrement, de réplication et de sécurité adaptés à vos compartiments S3.
varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
Varonis étend sa couverture pour aider à sécuriser les données critiques de Snowflake
Varonis étend la couverture DSPM à Snowflake, améliorant ainsi la visibilité et la sécurité des données critiques de Snowflake.
les-plus-grands-risques-de-sécurité-pour-votre-organisation-salesforce
Les plus grands risques de sécurité pour votre organisation Salesforce
Découvrez comment les professionnels Salesforce et les équipes de sécurité peuvent lutter contre les risques les plus préoccupants dans leurs environnements.
analyse-intelligente-et-renseignements-sur-les-menaces-en-matière-de-sécurité-avec-azure-sentinel
Analyse intelligente et renseignements sur les menaces en matière de sécurité avec Azure Sentinel
Les données sont la clé, et leur sécurité est au cœur des préoccupations des entreprises. Il est presque impossible d’analyser et de résoudre correctement de grands volumes d’alertes de sécurité...