Copilot, l’assistant dopé à l’IA de Microsoft, fait ses débuts dans la suite bureautique Microsoft 365. Une petite révolution qui n’est pas sans exigences, en particulier en matière de sécurité. Mise au point avec Rcarré.

Plus le pouvoir est grand, plus les risques sont importants ! « Les outils avancés d’IA générative peuvent exposer vos données sensibles et en créer davantage, ce qui peut entraîner des risques de perte, de vol et d’utilisation abusive, prévient Pierre Lakaie, Sales Manager, Rcarré. Copilot accède à toutes vos données, ne l’oubliez jamais ! »

Contrairement à d’autres outils d’IA tels que ChatGPT, Copilot accède en effet à toutes les données sensibles pour lesquelles l’utilisateur dispose des droits. De fait, le chatbot de Microsoft peut rechercher et compiler des données à partir de documents, présentations, e-mails, calendriers, notes et contacts, permettant aux utilisateurs d’améliorer leur créativité, leur productivité et leurs compétences. C’est donc un formidable outil. Mais non sans danger. McKinsey a calculé que chaque employé accède à environ 10 % des données Microsoft 365 d’une entreprise !

Gare aux risques d’exposition des données

Pierre Lakaie voit deux risques majeurs. Copilot utilise les droits d’accès existants pour déterminer quelles données une personne peut consulter, sans remettre en question si cette personne devrait réellement avoir accès à ces informations. De plus, il est très facile avec le chatbot de générer de nouveaux contenus contenant des informations sensibles, augmentant ainsi le besoin de protection.

« Lorsque les entreprises fournissent à leurs employés de nouveaux outils d’accès et d’utilisation des données, elles doivent garantir que ces données sont sécurisées. » La gestion des autorisations dans des plates-formes de données collaboratives et non structurées telles que Microsoft 365 peut être un véritable cauchemar pour tous. Les risques d’exposition des données par l’IA augmentent considérablement si ces problèmes ne sont pas résolus avant que ne soient utilisés des outils d’IA générative.

Bref, c’est un monde complexe qu’il faut bien gérer, insiste Pierre Lakaie. Microsoft a récemment souligné l’importance de mettre en place une politique Zero Trust, qui intègre le principe d’un ‘accès juste suffisant’. « Selon ce principe, les employés ne devraient avoir accès qu’aux données strictement nécessaires à leurs missions. Cette exigence revêt une importance particulière avec le lancement de Copilot, où les employés ont accès en quelques secondes à d’énormes quantités de données de l’organisation. »

Assessment et plan de remédiation, les premières étapes

Il ne s’agit pas de remettre en cause la sécurité intrinsèque de Microsoft 365 qui repose sur quatre piliers fondamentaux – identité, appareils, applications et documents – mais de voir dans les entreprises comment celle-ci est assurée, enchaîne Kevin Carlens, Cloud Solutions & Transformation, Rcarré. Pour le prestataire luxembourgeois, tout débute par un assessment. En clair, « voir la posture de Microsoft 365, l’état de santé de la plateforme. »

Concrètement, il est essentiel de savoir quelles données existent, où sont-elles stockées, quelles informations sont importantes ou sensibles, quels contrôles sont en place et comment et par qui les données sont utilisées. Les scans intelligents peuvent répondre à ces questions, identifiant l’endroit où se trouvent les données sensibles, qui y accède, comment elles sont utilisées et si elles sont correctement étiquetées.

Comme les droits d’accès sont la base du fonctionnement de Copilot, les responsables de la sécurité doivent accorder une attention particulière à ce domaine et assurer la transparence, la mise en œuvre du principe de moindre privilège, une surveillance continue et l’utilisation sécurisée de la prévention de la perte de données.

Conscientiser les utilisateurs

Pas d’implémentation sans préparation. A entendre les spécialistes de Rcarré, la bonne stratégie repose sur trois étapes clés : préparer les données (sans oublier la sécurité et la conformité), identifier les bons profils utilisateurs (et les former) et mesurer les gains (en commençant par établir le référentiel). « Conscientisez les utilisateurs, on n’est jamais à l’abri d’erreurs ! » Dans ce processus, l’implication de key-users sera déterminante.

« Il est important d’identifier ces profils afin de leur donner en priorité l’accès à l’outil. De manière générale, les employés qui créent ou synthétisent du contenu sont probablement ceux qui tireront le plus parti de la technologie. » Prévoir, aussi, un plan de communication et de formation adapté aux différents rôles, avec notamment une familiarisation au concept de prompt.

Ces tâches s’inscrivent dans la mission d’accompagnement que propose depuis peu Rcarré autour de l’usage de Copilot. Et Pierre Lakaie de conclure : « Nos plans de préparation comprennent des formations techniques, des conseils sur la gouvernance des données, des stratégies d’adoption et bien plus encore pour aider votre entreprise à tirer pleinement parti de cette technologie émergente le plus rapidement possible. »