Considérations de sécurité et de conformité pour les charges de travail d’applications intelligentes
La sécurité est essentielle pour toute architecture. Microsoft Power Platform propose une gamme complète d’outils pour sécuriser efficacement votre charge de travail d’application intelligente. Cet article décrit les considérations de sécurité et les recommandations pour le développement de charges de travail d’application intelligentes avec Power Platform.
Copilot pour Dynamics 365 et Power Platform présente aligner un ensemble de pratiques de sécurité et de confidentialité de base et la Microsoft norme d’IA responsable. Les données Dynamics 365 et Power Platform sont protégées par des contrôles de conformité, de sécurité et de confidentialité complets et à la pointe du secteur. Pour plus d’informations sur les fonctionnalités de sécurité, consultez les sections Copilot Studio Sécurité et gouvernance Power Platform , Copilot Studio FAQ sur la sécurité et la confidentialité des données Copilot pour Dynamics 365 et, et Sécurité dans Power Platform. Microsoft Power Platform
Vous devez évaluer périodiquement les services et les technologies que vous utilisez pour vous assurer que vos mesures de sécurité sont adaptées à l’évolution du paysage des menaces.
Comprendre les exigences de sécurité
Comprendre les exigences clés de la charge de travail d’application intelligente que vous implémentez. Posez-vous les questions suivantes pour vous aider à identifier les mesures de sécurité à prendre.
Contrôle d’accès et authentification
- Comment allez-vous mettre en œuvre des mécanismes de contrôle d’accès et d’authentification pour garantir que seuls les utilisateurs autorisés peuvent accéder à la charge de travail de l’application intelligente ?
- Comment garantir une authentification utilisateur sécurisée et transparente ?
- Comment contrôlez-vous les applications qui peuvent interagir avec le Copilot et quelles mesures garantissent l’efficacité de ces restrictions ?
Sécurité et gestion des incidents
- Comment allez-vous gérer et sécuriser les secrets des applications, tels que les clés API et les mots de passe ?
- Quelles exigences de sécurité réseau ont un impact sur la charge de travail des applications intelligentes ? Par exemple, les API internes sont-elles accessibles uniquement dans un réseau virtuel ?
- Comment allez-vous surveiller et auditer l’accès et l’utilisation de l’application intelligente ?
- Quel est le plan d’incident réponse pour traiter les failles de sécurité ou les vulnérabilités ?
Conformité et résidence des données
- Quelles exigences en matière de résidence des données s’appliquent aux données utilisées dans la charge de travail de l’application intelligente ? Savez-vous où résideront vos données et si l’emplacement correspond à vos obligations légales ou réglementaires ?
- Quelles exigences réglementaires et de conformité doivent être respectées pour la charge de travail des applications intelligentes ?
Intégration système et exigences réseau
- Comment la charge de travail de l’application intelligente s’intégrera-t-elle en toute sécurité aux autres systèmes internes et externes ?
- Quelles sont les exigences en matière de réseau et d’intégration pour votre charge de travail ? Est-il nécessaire d’intégrer des sources de données ou des API internes ou externes ?
Considérations éthiques et IA responsable
- Comment les considérations éthiques et les pratiques responsables en matière d’IA seront-elles intégrées dans la charge de travail des applications intelligentes ?
Mettre en œuvre des mesures robustes d’authentification et de contrôle d’accès
L’authentification permet aux utilisateurs de se connecter, donnant à votre copilote l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec un Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2 tel que Google ou Facebook.
Mettez en œuvre des mesures d’authentification et de contrôle d’accès robustes pour garantir que les utilisateurs autorisés peuvent accéder à Copilot. Garantir que seuls les utilisateurs autorisés peuvent accéder à Copilot est la base de la sécurité. La mise en œuvre de l’authentification multifacteur ajoute un niveau de sécurité supplémentaire couche. Pour minimiser le risque d’accès non autorisé, définissez des rôles et des autorisations pour garantir que les utilisateurs ont accès uniquement aux ressources dont ils ont besoin. Mettez en œuvre des politiques d’accès conditionnel pour contrôler l’accès en fonction de conditions spécifiques, telles que l’emplacement de l’utilisateur, la conformité de l’appareil ou le niveau de risque.
En savoir plus :
- Configurer l’authentification des utilisateurs
- Configurer l’authentification unique
- Configurer la sécurité du canal Web
Comprendre comment les exigences réglementaires affectent votre projet
Identifiez et respectez les exigences réglementaires et les normes applicables à votre secteur, telles que RGPD (suivre), HIPAA (Health Insurance Portability and Accountability Act) ou CCPA (California Consumer Privacy Act). Mettre en œuvre les contrôles nécessaires pour garantir la conformité. Planifiez des audits de conformité réguliers pour vérifier le respect des normes réglementaires et combler les lacunes. Évaluer s’il existe des exigences spécifiques en matière de localisation des données, par exemple l’obligation de stocker les données dans un pays ou une région particulière. Assurez-vous que votre stratégie de stockage de données répond à ces exigences.
Assurez-vous que les données sont protégées et gérées conformément aux exigences réglementaires. La protection des données traitées par la charge de travail des applications intelligentes est essentielle pour maintenir la confiance et le respect des normes légales et réglementaires.
Microsoft est conforme aux lois sur la protection des données et la confidentialité applicables aux services cloud. Notre conformité aux normes industrielles de classe mondiale est vérifiée. Les environnements peuvent être créés dans des régions spécifiques, même si elles sont différentes de la région où réside le locataire. Par défaut, les transcriptions de conversation ne sont conservées que pendant 30 jours dans Dataverse. Vous pouvez Ajuster cette période de conservation en fonction de chaque environnement.
En savoir plus :
- Sécurité et résidence géographique des données dans Copilot Studio
- Résidence des données géographiques dans Copilot Studio
- Copilot Studio offres de conformité
- Copilot Studio RGPD conformité
- Copilot Studio Emplacements des données
- Gestion de la conformité dans le cloud
- Portail de confiance des services
- Modifier la période de conservation par défaut des transcriptions de conversation
- Déplacez des données entre des emplacements géographiques pour des fonctionnalités d’IA génératives en dehors des États-Unis
- Conception pour la confidentialité protéger
Sécuriser toutes les intégrations
Assurez une communication sécurisée entre votre charge de travail d’application intelligente et vos sources de données. Votre charge de travail d’application intelligente doit s’intégrer à d’autres systèmes pour accéder aux données et les traiter. Pour simplifier la gestion des identités et améliorer la sécurité, utilisez des principaux de service pour l’accès non humain aux ressources et des identités gérées pour les ressources Azure. Sécurisez les API en utilisant OAuth2 pour l’authentification et en garantissant que toutes les communications API sont cryptées. L’utilisation de principaux de service garantit que les connexions sont sécurisées et ne dépendent pas d’informations d’identification individuelles.
En savoir plus :
Mettre en œuvre un suivi et un audit continus
L’objectif principal de la surveillance de sécurité est la détection des menaces. L’objectif principal est de prévenir les failles de sécurité potentielles et de maintenir un environnement sécurisé. Surveillez et auditez en permanence les activités de la charge de travail des applications intelligentes pour détecter et réagir de manière proactive. La sécurité est un processus continu, pas une configuration ponctuelle tâche. Une surveillance et un audit réguliers de l’accès et des interactions des utilisateurs sont essentiels pour garantir la sécurité de la charge de travail de votre application intelligente.
En savoir plus :
- Recommandations pour la surveillance et la détection des menaces
- Voir Copilot Studio journaux d’audit
- Capturer Copilot Studio télémétrie avec Azure Application Insights
Utilisez les outils de sécurité Azure pour appliquer les politiques de sécurité
Utilisez les outils de sécurité intégrés d’Azure, tels que Microsoft Défenseur pour le Cloud (anciennement connu sous le nom d’Azure Security Center) et Politique Azure, pour surveiller et appliquer les politiques de sécurité.
Assurer la formation des employés
Formez les employés aux meilleures pratiques en matière de protection des données et à l’importance de respecter les exigences en matière de résidence des données. Adaptez les supports de formation aux rôles et responsabilités spécifiques des différents employés. Les lois et réglementations en matière de protection des données évoluent constamment. Veiller à ce que les programmes de formation soient régulièrement mis à jour pour refléter les dernières exigences légales et les meilleures pratiques. Utilisez des méthodes interactives telles que des ateliers, des simulations et des scénarios réels pour rendre la formation attrayante et efficace. Offrir un soutien et des ressources continus, tels que l’accès à des délégués à la protection des données ou à des conseillers juridiques, pour aider les employés à rester informés et conformes.