Considérations relatives à la sécurité et à la conformité pour les charges de travail des applications intelligentes

La sécurité est essentielle pour toute architecture. Microsoft Power Platform offre une gamme complète d’outils pour sécuriser efficacement la charge de travail de vos applications intelligentes. Cet article décrit les considérations et les recommandations de sécurité pour développer des charges de travail d’applications intelligentes avec Power Platform.

Les fonctionnalités Copilot pour Dynamics 365 et Power Platform suivent un ensemble de pratiques de base en matière de sécurité et de confidentialité ainsi que la Norme sur l’IA responsable de Microsoft. Les données Dynamics 365 et Power Platform sont protégées par des contrôles de conformité, de sécurité et de confidentialité complets et à la pointe du secteur. Pour plus d’informations sur les fonctionnalités de sécurité de Microsoft Copilot Studio et Power Platform, consultez Sécurité et gouvernance de Copilot Studio, FAQ sur la sécurité et la confidentialité des données Copilot pour Dynamics 365 et Power Platform et Sécurité dans Microsoft Power Platform.

Vous devez évaluer périodiquement les services et les technologies que vous utilisez pour vous assurer que vos mesures de sécurité sont alignées sur l’évolution du paysage des menaces.

Comprendre les exigences de sécurité

Comprenez les principales exigences de la charge de travail de l’application intelligente que vous mettez en œuvre. Posez-vous les questions suivantes pour vous aider à identifier les mesures de sécurité à prendre en compte.

Contrôle d’accès et authentification

• Comment allez-vous mettre en œuvre des mécanismes de contrôle d’accès et d’authentification pour vous assurer que seuls les utilisateurs autorisés peuvent accéder à la charge de travail de l’application intelligente ?
• Comment garantir une authentification sécurisée et transparente des utilisateurs ?
• Comment contrôlez-vous quelles applications peuvent interagir avec l’IA générative (agent) et quelles mesures garantissent l’efficacité de ces restrictions ?

Gestion de la sécurité et des incidents

• Comment allez-vous gérer et sécuriser les secrets d’application, tels que les clés API et les mots de passe ?
• Quelles sont les exigences de sécurité réseau qui ont un impact sur la charge de travail des applications intelligentes ? Par exemple, les API internes sont-elles uniquement accessibles dans un réseau virtuel ?
• Comment allez-vous surveiller et auditer l’accès et l’utilisation de l’application intelligente ?
• Quel est le plan d’intervention en cas d’incident pour remédier aux failles de sécurité ou aux vulnérabilités ?

Conformité et résidence des données

• Quelles exigences en matière de résidence des données s’appliquent aux données utilisées dans la charge de travail de l’application intelligente ? Savez-vous où résideront vos données et si l’emplacement correspond à vos obligations légales ou réglementaires ?
• Quelles sont les exigences réglementaires et de conformité à respecter pour la charge de travail des applications intelligentes ?

Intégration système et configuration réseau

• Comment la charge de travail de l’application intelligente s’intègre-t-elle en toute sécurité à d’autres systèmes internes et externes ?
• Quelles sont les exigences en matière de réseau et d’intégration pour votre charge de travail ? Est-il nécessaire d’intégrer des sources de données ou des API internes ou externes ?

Considérations éthiques et IA responsable

• Comment les considérations éthiques et les pratiques responsables en matière d’IA seront-elles intégrées à la charge de travail des applications intelligentes ?

Mettre en œuvre des mesures robustes d’authentification et de contrôle d’accès

L’authentification permet aux utilisateurs de se connecter, donnant ainsi à votre agent l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2, comme Google ou Facebook.

Mettez en œuvre des mesures d’authentification et de contrôle d’accès robustes pour garantir que les utilisateurs autorisés peuvent accéder à l’agent. Garantir que seuls les utilisateurs autorisés peuvent accéder à l’agent est la base de la sécurité. La mise en œuvre de l’authentification multifacteur ajoute une couche de sécurité supplémentaire. Pour minimiser le risque d’accès non autorisé, définissez des rôles et des autorisations pour vous assurer que les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin. Implémentez des stratégies d’accès conditionnel pour contrôler l’accès en fonction de conditions spécifiques, telles que l’emplacement de l’utilisateur, la conformité de l’appareil ou le niveau de risque.

En savoir plus :

• Configurer l’authentification utilisateur
• Configurer l’authentification unique
• Configurer la sécurité du canal web et Direct Line

Comprendre comment les exigences réglementaires affectent votre projet

Identifiez et respectez les exigences réglementaires et les normes applicables à votre secteur, telles que RGPD (Règlement général sur la protection des données), HIPAA (Health Insurance Portability and Accountability Act) ou CCPA (California Consumer Privacy Act). Mettez en œuvre les contrôles nécessaires pour assurer la conformité. Planifiez des audits de conformité réguliers pour vérifier le respect des normes réglementaires et combler les lacunes. Évaluez s’il existe des exigences spécifiques en matière d’emplacement des données, telles que l’obligation de stocker les données dans un pays ou une région particulier. Assurez-vous que votre stratégie de stockage de données répond à ces exigences.

Assurez-vous que les données sont protégées et gérées conformément aux exigences réglementaires. La protection des données traitées par la charge de travail de l’application intelligente est essentielle pour maintenir la confiance et le respect des normes légales et réglementaires.

Microsoft respecte les lois sur la protection des données et de la vie privée applicables aux services cloud. Notre conformité aux normes de classe mondiale de l’industrie est vérifiée. Les environnements peuvent être créés dans des régions spécifiques, même si elles sont différentes de la région où réside le client. Par défaut, les transcriptions de conversation ne sont conservées que pendant 30 jours dans Dataverse. Vous pouvez ajuster cette période de conservation pour chaque environnement.

En savoir plus :

• Sécurité et résidence géographique des données dans Copilot Studio
• Résidence géographique des données dans Copilot Studio
• Offres de conformité Copilot Studio
• Copilot StudioConformité au RGPD
• Emplacements des données Copilot Studio
• Gestion de la conformité dans le cloud
• Portail d’approbation de services
• Modifier la période de rétention par défaut pour les transcriptions de conversation
• Déplacer des données entre les emplacements géographiques pour les fonctionnalités d’IA générative en dehors des États-Unis
• Concevoir pour protéger la confidentialité

Sécuriser toutes les intégrations

Assurez une communication sécurisée entre la charge de travail de votre application intelligente et les sources de données. La charge de travail de votre application intelligente doit s’intégrer à d’autres systèmes pour accéder aux données et les traiter. Pour simplifier la gestion des identités et améliorer la sécurité, utilisez des principaux de service pour l’accès non humain aux ressources et des identités managées pour les ressources Azure. Sécurisez les API en utilisant OAuth2 pour l’authentification et en vous assurant que toutes les communications d’API sont chiffrées. L’utilisation de principaux de service garantit que les connexions sont sécurisées et ne reposent pas sur des informations d’identification individuelles.

En savoir plus :

• Conception pour la sécurité de l’intégration
• Prise en charge du principal de service

Mettre en œuvre une surveillance et un audit continus

L’objectif principal de la surveillance de la sécurité est la détection des menaces. L’objectif principal est de prévenir les failles de sécurité potentielles et de maintenir un environnement sécurisé. Surveillez et auditez en permanence les activités de la charge de travail de l’application intelligente pour détecter et réagir de manière proactive. La sécurité est un processus continu, pas une tâche de configuration unique. Une surveillance et un audit réguliers de l’accès et des interactions des utilisateurs sont essentiels pour sécuriser la charge de travail de vos applications intelligentes.

En savoir plus :

• Recommandations pour la surveillance et la détection des menaces
• Afficher les journaux d’audit Copilot Studio
• Capturer la télémétrie Copilot Studio avec Azure Application Insights

Utiliser les outils de sécurité Azure pour appliquer les stratégies de sécurité

Utilisez les outils de sécurité intégrés d’Azure, tels que Microsoft Defender pour le cloud (anciennement appelé Azure Security Center) et Azure Policy, pour surveiller et appliquer les stratégies de sécurité.

Assurer la formation des employés

Formez les employés sur les pratiques recommandées en matière de protection des données et sur l’importance de respecter les exigences en matière de résidence des données. Adaptez le matériel de formation aux rôles et responsabilités spécifiques des différents employés. Les lois et réglementations en matière de protection des données évoluent constamment. Veiller à ce que les programmes de formation soient régulièrement mis à jour pour refléter les dernières exigences légales et les meilleures pratiques. Utilisez des méthodes interactives telles que des ateliers, des simulations et des scénarios de la vie réelle pour rendre la formation attrayante et efficace. Fournir un soutien et des ressources continus, tels que l’accès à des délégués à la protection des données ou à des conseillers juridiques, pour aider les employés à rester informés et conformes.