Sécurité de l'IA générative : comment empêcher l'exposition aux données de Microsoft Copilot
Copilot, le nouvel assistant IA de Microsoft, est disponible pour les entreprises depuis novembre 2023. Son objectif est de faciliter le travail des utilisateurs et d’accroître leur productivité de manière significative.
Contrairement à d’autres outils d’IA tels que ChatGPT, Copilot a accès à toutes les données sensibles auxquelles l’utilisateur peut accéder. Cela soulève des préoccupations majeures en matière de sécurité des données, notamment en raison du fait que chaque employé a en moyenne accès à environ 10 % des données Microsoft 365 d’une entreprise.
Microsoft affirme que Copilot combine la puissance des grands modèles linguistiques (LLMs) avec les données de l’entreprise, en faisant ainsi l’un des « outils de productivité les plus puissants au monde ».
Copilot peut rechercher et compiler des données à partir de documents, présentations, e-mails, calendriers, notes et contacts, permettant aux utilisateurs d’améliorer leur créativité, leur productivité et leurs compétences.
Cependant, cela soulève deux problèmes majeurs : Copilot utilise les droits d’accès existants pour déterminer quelles données une personne peut consulter, sans remettre en question si cette personne devrait réellement avoir accès à ces informations. De plus, il est très facile avec Copilot de créer de nouveaux contenus contenant des informations sensibles, augmentant ainsi le besoin de protection.
Lorsque les entreprises fournissent à leurs employés de nouveaux outils d’accès et d’utilisation des données, elles doivent garantir que ces données sont sécurisées. La gestion des autorisations dans des plates-formes de données collaboratives et non structurées telles que M365 est un véritable cauchemar pour tous. Les risques d’exposition des données par l’IA augmentent considérablement si ces problèmes ne sont pas résolus avant que ne soient utilisés des outils d’IA générative.
Sept étapes pour être prêt pour Microsoft Copilot
Comment alors déployer Copilot de manière sécurisée et minimiser les risques associés ? Les entreprises doivent prendre certaines mesures avant et après la mise en œuvre de Copilot pour protéger au mieux leurs données sensibles.
Avant la mise en œuvre
Avant d’intégrer Copilot, il est impératif de s’assurer que les données sensibles de l’entreprise sont correctement protégées. Comme les droits d’accès sont la base du fonctionnement de l’assistant IA, les responsables de la sécurité doivent accorder une attention particulière à ce domaine et assurer la transparence, la mise en œuvre du principe de moindre privilège, une surveillance continue et l’utilisation sécurisée de la prévention de la perte de données (DLP) comme Purview.
Étape 1 : Améliorer la transparence
Pour protéger les données, il est essentiel de savoir quelles données existent, où elles sont stockées, quelles informations sont importantes ou sensibles, quels contrôles sont en place, et comment et par qui les données sont utilisées. Les scans intelligents peuvent répondre à ces questions, identifiant l’endroit où se trouvent les données sensibles, qui y a accès, comment elles sont utilisées, et si elles sont correctement étiquetées.
Étape 2 : Ajouter et corriger les étiquettes
L’utilisation de la fonctionnalité de sécurité des données de Purview par Microsoft nécessite des fichiers correctement étiquetés. L’automatisation intelligente, basée sur des règles précises, peut scanner chaque fichier pour détecter et étiqueter automatiquement les données sensibles, améliorant ainsi l’efficacité des contrôles DLP ultérieurs.
Étape 3 : Éliminer les autorisations trop larges
Suivant un modèle Zero-Trust, les entreprises ne devraient accorder l’accès aux données qu’aux personnes qui en ont réellement besoin pour leur travail, pas à l’ensemble de l’entreprise ni à tout le monde sur Internet. L’élimination automatisée des liens et des autorisations trop larges est essentielle pour garantir la sécurité des informations sensibles.
Étape 4 : Vérifier l’accès aux données critiques
Il est crucial que les responsables de la sécurité vérifient l’adéquation des droits d’accès, en particulier pour les données les plus importantes telles que la propriété intellectuelle secrète ou les données personnelles sensibles. Des solutions intelligentes peuvent identifier ces données critiques et indiquer qui y a accès et dans quelle mesure, fournissant une visibilité nécessaire.
Étape 5 : Éliminer les accès risqués supplémentaires
Une fois les premières étapes mises en œuvre, l’automatisation peut être utilisée pour éliminer continuellement les droits d’accès risqués ou obsolètes, minimisant ainsi les risques de fuites de données.
Après la mise en œuvre
Une fois Copilot en service, il est crucial de garantir que le rayon d’explosion, c’est-à-dire les dommages qu’un compte compromis peut causer, ne s’agrandisse pas et que les données continuent d’être utilisées en toute sécurité.
Étape 6 : Surveillance continue et alerte
La surveillance approfondie de l’utilisation des données est essentielle pour détecter rapidement tout comportement malveillant ou risqué. En surveillant chaque interaction avec les données, les responsables de la sécurité peuvent réduire le temps de détection et le temps de réaction face à toute menace potentielle.
Étape 7 : Automatiser les politiques de contrôle d’accès
L’automatisation continue des politiques de contrôle d’accès est nécessaire pour maintenir la sécurité et l’efficacité de Copilot à long terme. En continuant à surveiller toutes les données et leurs utilisations, les responsables de la sécurité peuvent s’assurer que Copilot est utilisé de manière permanente, sécurisée et efficace.
Microsoft Copilot, basé sur la puissance des LLMs et de l’IA générative, peut rendre les employés plus productifs. Cependant, avec une grande puissance vient également un grand risque. Si les entreprises ne prennent pas au sérieux les risques de sécurité des données liés à l’IA et n’adoptent pas les mesures nécessaires, les outils d’IA générative peuvent révéler des données sensibles et créer facilement de nouvelles informations, exposant ainsi les entreprises aux risques de perte, de vol et d’abus de données.
Une transparence complète sur l’utilisation des données et une automatisation intelligente peuvent protéger efficacement les données précieuses de l’entreprise dans M365 sans compromettre la productivité.
Jérôme Soyer, Vice-président régional de l\'ingénierie des ventes, Europe continentale - Varonis.
Sur le même thème
Voir tous les articles Data & IA