Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Sécurité de l'IA générative : Garantir un déploiement sécurisé de Microsoft Copilot

Cet article décrit le fonctionnement du modèle de sécurité de Microsoft 365 Copilot et les risques à prendre en compte pour garantir un déploiement en toute sécurité.
Rob Sobers
6 minute de lecture
Dernière mise à jour 9 avril 2024

Contenu

    Microsoft Copilot est considéré comme l'un des outils de productivité les plus puissants de la planète.

    Copilot est un assistant d'IA intégré à chacune de vos applications Microsoft 365 : Word, Excel, PowerPoint, Teams, Outlook, etc. Le rêve de Microsoft est de simplifier le travail quotidien et de permettre aux êtres humains de faire appel à leur créativité pour résoudre les problèmes.

    Ce qui rend Copilot très différent de ChatGPT et des autres outils d’IA, c’est qu’il a accès à tout ce sur quoi vous avez déjà travaillé dans 365. Copilot peut rechercher et compiler instantanément des données à partir de vos documents, présentations, e-mails, calendriers, notes et contacts.

    D'où le problème pour les équipes en charge de la sécurité de l'information. Copilot peut accéder à toutes les données sensibles auxquelles un utilisateur a accès, ce qui est souvent beaucoup trop. En moyenne, 10 % des données M365 d'une entreprise sont accessibles par tous les employés.

    Copilot peut également générer rapidement de nouvelles données sensibles nettes, qui doivent être protégées. Avant la révolution de l'IA, la capacité des êtres humains à créer et partager des données a largement dépassé leur capacité à les protéger. Il suffit de regarder les tendances dans les fuites de données. L'IA générative met de l'huile sur le feu.

    Il y a beaucoup à dire sur l'IA générative dans son ensemble : empoisonnement des modèles, hallucinations, deepfakes, etc. Dans cet article, cependant, je me concentrerai spécifiquement sur la sécurité des données et comment votre équipe peut garantir un déploiement sécurisé de Copilot.

    Cas d'utilisation de Microsoft 365 Copilot

    Les cas d'utilisation de l'IA générative avec une suite d'outils collaboratifs comme M365 sont illimités. On comprend pourquoi tant d'équipes informatiques et de sécurité cherchent à obtenir des accès anticipés pour pouvoir préparer leurs plans de déploiement. Les gains de productivité seront énormes.

    Par exemple, vous pouvez ouvrir un document Word vierge et demander à Copilot de rédiger une proposition pour un client en fonction d'un ensemble de données cible qui peut inclure des pages OneNote, des présentations PowerPoint et d'autres documents de bureau. En quelques secondes, vous aurez une proposition complète.

    copilot_word_gifs_web

    Voici quelques exemples supplémentaires donnés par Microsoft lors de leur événement de lancement :

    • Copilot peut rejoindre vos réunions Teams et résumer en temps réel ce qui est discuté, capturer des éléments d'action et vous dire quelles questions n'ont pas été résolues lors de la réunion. 
    • Dans Outlook, Copilot peut vous aider à trier votre boîte de réception, à hiérarchiser les e-mails, à résumer les fils de discussion et à générer des réponses à votre place.
    • Dans Excel, Copilot peut analyser les données brutes et vous donner des informations, des tendances et des suggestions. 
    Planifiez une démonstration personnalisée de 30 minutes avec l'un de nos experts en sécurité.
    Voir Varonis en action.

    Fonctionnement de Microsoft 365 Copilot

    Voici un aperçu simple du traitement d'une invite Copilot :

    • Un utilisateur saisit une invite dans une application comme Word, Outlook ou PowerPoint.
    • Microsoft recueille le contexte métier de l'utilisateur en fonction de ses autorisations M365.
    • L'invite est envoyée au LLM (comme GPT4) pour générer une réponse.
    • Microsoft effectue des contrôles d'IA responsables post-traitement.
    • Microsoft génère une réponse et des commandes vers l'application M365. 

    Source : https://learn.microsoft.com/en-us/DeployOffice/privacy/microsoft-365-copilotSource : https://learn.microsoft.com/en-us/deployoffice/privacy/microsoft-365-copilot 

    Modèle de sécurité de Microsoft 365 Copilot

    With collaboration tools, there is always an extreme tension between productivity and security.

    C'est ce qui s'est produit lors de l'épidémie de coronavirus, lorsque les équipes informatiques ont rapidement déployé Microsoft Teams sans avoir pleinement compris le fonctionnement du modèle de sécurité sous-jacent ni l'état de préparation des autorisations, groupes et politiques de liens M365 dans leur entreprise. 

    What Microsoft handles for you:

    • Isolement des tenants. Copilot utilise uniquement les données du tenant M365 de l'utilisateur actuel. L'outil d'IA n'affichera pas les données des autres tenants dans lesquels l'utilisateur peut être invité, ni celles des tenants qui pourraient être configurés avec la synchronisation inter-tenants.
    • Limites de l'entraînement. Copilot n'utilise aucune de vos données métier pour entraîner les LLM de base que Copilot utilise pour tous les tenants. Vous ne devriez pas avoir à vous inquiéter de voir vos données propriétaires apparaître dans les réponses faites aux utilisateurs d'autres tenants. 

    What you need to manage: 

    • Autorisations. Copilot fait apparaître toutes les données organisationnelles pour lesquelles les utilisateurs individuels ont au moins des autorisations de consultation. 
    • Étiquettes. Le contenu généré par Copilot n'héritera pas des étiquettes MPIP des fichiers à partir desquels Copilot a élaboré sa réponse.
    • Êtres humains. Copilot ne garantit pas des réponses à 100 % factuelles ni sécurisées. Les êtres humains doivent prendre la responsabilité de relire le contenu généré par l'IA.

    Prenons les mauvaises nouvelles une par une.

    Droits

    Accorder à Copilot l'accès à ce à quoi un utilisateur peut accéder serait une excellente idée, si les entreprises étaient en mesure d'appliquer facilement le principe du moindre privilège dans Microsoft 365. 

    Microsoft indique dans sa documentation sur la sécurité des données de Copilot :

    Il est important que vous utilisiez les modèles d'autorisation disponibles dans les services Microsoft 365, tels que SharePoint, pour vous assurer que les bons utilisateurs ou groupes disposent du bon accès au contenu approprié au sein de votre entreprise.
    Source : données, confidentialité et sécurité pour Microsoft 365 Copilot

    Cependant, nous savons dans les faits que la plupart des entreprises ne sont pas près d'appliquer ce principe de façon systématique. Il suffit de jeter un coup d’œil à certaines des statistiques du rapport State of Cloud Permissions Risk de Microsoft.

    2500

    Cette image correspond aux observations de Varonis lorsque nous effectuons chaque année des milliers d’évaluations des risques liés aux données, pour les entreprises qui utilisent Microsoft 365. Dans notre rapport, Les grands risques du SaaS, nous avons constaté que le tenant M365 moyen avait :

    • Plus de 40 millions de droits uniques
    • Plus de 113 000 dossiers sensibles rendus publics
    • Plus de 27 000 liens de partage

    Comment peut-on en arriver là ? Les autorisations Microsoft 365 sont extrêmement complexes. Il suffit de penser à toutes les façons dont un utilisateur peut accéder aux données :

    • Autorisations directes pour les utilisateurs
    • Autorisations de groupe Microsoft 365
    • Autorisations locales SharePoint (avec niveaux personnalisés)
    • Accès invité
    • accès externe
    • Accès public
    • Accès par un lien (tout le monde, à l'échelle de l'entreprise, direct, invité)

    Pour ne rien arranger, les autorisations sont principalement entre les mains des utilisateurs finaux, et non des équipes informatiques ou de sécurité. 

    Étiquettes

    Microsoft s'appuie fortement sur les étiquettes de sensibilité pour appliquer des politiques DLP, appliquer un chiffrement et éviter largement les fuites de données. En pratique, cependant, il est difficile de faire fonctionner les étiquettes surtout si vous comptez sur des êtres humains pour appliquer des étiquettes de sensibilité.

    Microsoft dresse une image assez simple du fonctionnement de l'étiquetage et du blocage, comme dernier rempart de sécurité pour vos données. La réalité est tout autre. Lorsque les êtres humains créent des données, l'étiquetage est souvent à la traîne ou devient obsolète.

    Le blocage ou le chiffrement des données peut compliquer le travail, et les technologies d'étiquetage sont limitées à des types de fichiers spécifiques. Plus une entreprise a d'étiquettes, plus cela peut devenir déroutant pour les utilisateurs. C'est encore pire pour les grandes entreprises.

    L'efficacité de la protection des données basée sur les étiquettes va certainement se dégrader lorsque l'IA générera des données supplémentaires à un rythme exponentiel, qui auront besoin d'étiquettes précises et mises à jour automatiquement.

    Mes étiquettes sont-elles correctes ?

    Varonis peut valider et améliorer l'étiquetage de sensibilité des fichiers dans Microsoft pour une entreprise en analysant, en découvrant et en corrigeant les éléments suivants :

    • Les fichiers sensibles sans étiquette
    • Les fichiers sensibles avec une étiquette incorrecte
    • Les fichiers non sensibles portant une étiquette sensible
     

    Être humains

    L'IA peut favoriser la paresse. Le contenu généré par des LLM comme GPT4 n'est pas seulement bon, il est excellent. Dans de nombreux cas, la rapidité et la qualité dépassent de loin ce que peut faire un être humain. Par conséquent, les gens commencent à penser aveuglément que l'IA génère des réponses correctes et sécurisées à chaque fois.  

    Nous avons déjà vu des scénarios concrets dans lesquels Copilot écrit une proposition pour un client et inclut des données sensibles appartenant à un autre client. L'utilisateur appuie sur « Envoyer » après avoir jeté un coup d'œil rapide (ou pas), et vous vous retrouvez avec un scénario de violation de la vie privée ou de données sur les bras.

    Préparer la sécurité de votre tenant pour Copilot

    Vous devez avoir une idée de l'état de votre sécurité des données avant un déploiement de Copilot. Copilot sera probablement disponible au grand public en début d'année prochaine. Il est donc temps de mettre en place vos contrôles de sécurité.

    Varonis protège des milliers de clients Microsoft 365 avec notre plateforme de sécurité des données, qui fournit une visibilité en temps réel du risque et la capacité à appliquer automatiquement le principe du moindre privilège.

     

    Nous pouvons vous aider à gérer les plus grands risques de sécurité avec Copilot, quasiment sans intervention manuelle. Avec Varonis pour Microsoft 365, vous pouvez :

    • Découvrir et classer automatiquement tout le contenu sensible généré par l'IA.
    • Vous assurer automatiquement que les étiquettes MPIP sont correctement appliquées. 
    • Appliquer automatiquement le principe du moindre privilège.
    • Surveiller en permanence les données sensibles dans M365 et alerter et répondre aux comportements anormaux.

    La meilleure façon de commencer est de procéder à une évaluation gratuite des risques. La configuration prend quelques minutes et, en un jour ou deux, vous aurez une vue en temps réel des risques liés aux données sensibles.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Rob Sobers
    Rob Sobers

    Rob Sobers est un ingénieur logiciel spécialisé dans la sécurité du Web et co-auteur du livre ''Learn Ruby the Hard Way''.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).