Les cinq principaux risques de sécurité de Microsoft Copilot
Microsoft Copilot est disponible depuis février 2023. Malgré cela, de nombreuses entreprises hésitent encore à en faire usage. C'est compréhensible dans la mesure où l'assistant d'intelligence artificielle dispose de droits d'accès étendus aux données les plus diverses, ce qui peut causer des problèmes de sécurité.
J'ai listé 5 raisons pour lesquelles les organisations me semblent être frileuses quant à l'usage de cet outil.
1. Les collaborateurs ont accès à trop de données
Les réponses de Copilot se basent sur les informations auxquelles l'utilisateur a accès. Les droits d'accès jouent donc un rôle décisif. Microsoft y fait explicitement référence et recommande un usage de la politique du moindre privilège. Cela doit permettre de garantir que seuls les bons utilisateurs ou groupes ont le bon accès aux bons contenus.
Dans la réalité, les choses se passent différemment. Nos recherches montrent qu'un client M365 moyen dispose de plus de 40 millions d'autorisations uniques, partage publiquement plus de 110 000 données sensibles et a créé 27 000 liens. Toutes ces informations sont donc également disponibles lorsque Copilot répond à des demandes.
2. Les données sensibles sont souvent non ou mal étiquetées
De nombreuses fonctions de sécurité des données sont basées sur des marquages de sensibilité. Mais qui doit effectuer cette classification ? Faut-il demander aux collaborateurs de tout classer ? Combien de données sont effectivement correctement étiquetées de cette manière ? Qu'en est-il de toutes les données qui ont déjà été créées ? Quelles données sensibles doivent également être mises à la disposition de Copilot ?
Tout cela ne peut se faire qu'avec une automatisation intelligente, dans le cadre de laquelle chaque fichier est scanné avec précision afin d'identifier les contenus sensibles tels que les données à caractère personnel, les informations relatives aux cartes de paiement, les secrets numériques tels que les mots de passe, ainsi que la propriété intellectuelle telle que le code.
De cette manière, il est possible d'apposer automatiquement une étiquette ou de corriger une étiquette erronée. Cela est particulièrement vrai lorsque des fichiers ont été modifiés et que leur sensibilité a changé.
3. Les initiés peuvent trouver et exfiltrer rapidement des données
L'avantage de l'intelligence artificielle est que l'on peut faire effectuer par un assistant des opérations autrefois compliquées et fastidieuses, comme la recherche d'informations sensibles. Sans l'IA, il faut chercher soi-même les dossiers correspondants, trouver les fichiers, les vérifier, etc.
Avec Copilot, ces opérations chronophages appartiennent au passé. Une simple demande telle que « Montrez-moi tous les fichiers contenant des données personnelles » fournit le résultat souhaité en quelques secondes.
4. Les pirates peuvent facilement trouver des informations d'accès
Comme pour la recherche de données sensibles, Copilot peut également être utilisé pour trouver des mots de passe, des informations d'accès et des clés API stockés dans des fichiers. Il va de soi que le stockage de ces informations constitue une violation flagrante de la cyber-hygiène de base.
Pourtant, cela se fait encore, même chez les collaborateurs qui sont parfaitement conscients des dangers, mais qui ne veulent pas s'embêter de trop d'étapes de connexions fastidieuses. Ici aussi, une simple commande suffit : « Y a-t-il des fichiers contenant des informations de connexion ? Fais-moi un récapitulatif des noms d'utilisateur et des mots de passe ».
5. L'IA générative augmente considérablement le nombre de données sensibles
Le résumé d'une réunion d'équipe, la rédaction de réponses à des e-mails ou l'analyse de données Excel... Tous ces scénarios d'utilisation typiques de Copilot créent de nouvelles données sensibles qui doivent également être labellisées et protégées. L'introduction du cloud et des outils de collaboration correspondants a déjà entraîné une véritable explosion des données, qui va maintenant encore s'accentuer avec l'usage de l'IA. Il est évident qu'il est impossible de suivre le rythme avec des moyens manuels.
Sans une automatisation intelligente, aucun des défis de sécurité décrits ici ne peut être relevé. Les mesures de base pour la sécurité des données sont toujours valables. Une IA générative telle que Microsoft Copilot les rend même encore plus importantes, car elle donne accès à encore plus de données de tout ordre.
Il est donc primordial de s'assurer, avant même de débuter l'usage de Copilot, que chaque collaborateur ne peut accéder qu'aux données dont il a réellement besoin pour son travail. Il ne s'agit toutefois pas d'un projet unique, car les droits d'accès augmentent en permanence avec les données. Les responsables de la sécurité doivent donc être en mesure de les vérifier en permanence et de les réduire si nécessaire.
En outre, une attention particulière doit être accordée à l'utilisation des données. Si l'on constate alors des écarts par rapport au comportement normal, les responsables de la sécurité doivent être immédiatement informés et les contre-mesures correspondantes doivent être mises en place de manière automatisée. C'est la seule façon d'empêcher les dérives liées à l'usage de l'IA.
Jérôme Soyer, Vice-président avant-vente pour l\\\'Europe de l\\\'Ouest - Varonis.
Sur le même thème
Voir tous les articles Data & IA