Appliquer les principes de Confiance Zéro à Microsoft Copilot

Résumé : Pour appliquer des principes de confiance zéro à Microsoft Copilot, vous devez :

1. Implémentez des protections de sécurité pour les invites web sur Internet.
2. Ajoutez des protections de sécurité pour le résumé du navigateur Microsoft Edge.
3. Effectuez les protections de sécurité recommandées pour Microsoft 365 Copilot.
4. Maintenez les protections de sécurité lors de l’utilisation conjointe de Microsoft Copilot et Microsoft 365 Copilot.

Introduction

Microsoft Copilot ou Copilot est un compagnon IA dans copilot.microsoft.com, Windows, Edge, Bing et l’application mobile Copilot. Cet article vous aide à implémenter des protections de sécurité afin de garantir la sécurité de votre organisation et de vos données lors de l’utilisation de Copilot. En implémentant ces protections, vous créez de solides fondations de Confiance Zéro.

Les recommandations en matière de sécurité Confiance Zéro pour Copilot sont axées sur la protection des comptes d’utilisateur, des appareils des utilisateurs, et des données qui sont dans l’étendue, en fonction de la façon dont vous configurez Copilot.

Vous pouvez introduire Copilot en différentes phases, allant de l’autorisation des prompts basés sur le web vers Internet jusqu’à l’autorisation des prompts basés sur le web et sur Microsoft 365 Graph à la fois vers Internet et vers les données de votre organisation. Cet article vous aidera à comprendre l’étendue de chaque configuration et, par conséquent, les recommandations relatives à la préparation de votre environnement avec les protections de sécurité appropriées.

Comment la Confiance Zéro apporte-t-elle une aide avec l’IA ?

La sécurité, en particulier la protection des données, est souvent une préoccupation majeure lors de l’introduction d’outils IA dans une organisation. La Confiance Zéro est une stratégie de sécurité qui vérifie chaque utilisateur, appareil et demande de ressource afin de s’assurer qu’il ou elle est autorisé(e). Le terme « Confiance Zéro » fait référence à la stratégie de traitement de chaque demande de connexion et de ressource comme si elle provenait d’un réseau non contrôlé et d’un mauvais acteur. Quel que soit l’endroit où provient la demande ou la ressource à laquelle elle accède, confiance zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».

En tant que leader en matière de sécurité, Microsoft fournit une feuille de route pratique et des conseils clairs en matière d’implémentation de la Confiance Zéro. L’ensemble des Copilotes de Microsoft reposent sur des plateformes existantes et héritent des protections appliquées à ces plateformes. Pour plus d’informations sur l’application de la Confiance Zéro aux plateformes de Microsoft, consultez le Centre d’aide de la Confiance Zéro. En implémentant ces protections, vous créez de solides fondations de sécurité Confiance Zéro.

Cet article s’appuie sur ces conseils pour prescrire les protections Confiance Zéro relatives à Copilot.

Contenu de cet article

Cet article décrit les recommandations de sécurité qui s’appliquent en quatre phases. Vous bénéficiez ainsi d’un chemin pour l’introduction de Copilot dans votre environnement lors de l’application de protections de sécurité aux utilisateurs, appareils et données accessibles par Copilot.

Étape	Configuration	Composants à sécuriser
1	Prompts basés sur le web vers Internet	Hygiène de sécurité de base pour les utilisateurs et les appareils à l’aide de stratégies d’identité et d’accès.
2	Prompts basés sur le web vers Internet avec résumé de la page de navigateur Edge activé	Les données de votre organisation à des emplacements locaux, intranet et cloud que Copilot dans Edge peut résumer.
3	Invites basées sur le web vers Internet et accès à Microsoft 365 Copilot	Tous les composants affectés par Microsoft 365 Copilot.
4	Invites basées sur le web vers Internet et accès à Microsoft 365 Copilot avec résumé de la page de navigateur Edge activé	Tous les composants répertoriés ci-dessus.

Étape 1. Commencer par des recommandations de sécurité pour les prompts basés sur le web vers Internet

La configuration la plus simple de Copilot fournit une assistance IA avec des prompts basés sur le web.

Dans l’illustration :

• Les utilisateurs peuvent interagir avec Copilot par le biais de copilot.microsoft.com, Windows, Bing, du navigateur Edge et de l’application mobile Copilot.
• Les prompts sont basés sur le web. Copilot utilise uniquement des données disponibles publiquement pour répondre aux prompts.

Avec cette configuration, les données de votre organisation ne sont pas incluses dans l’étendue des données référencées par Copilot.

Utilisez cette phase pour implémenter des stratégies d’identité et d’accès pour les utilisateurs et les appareils afin d’empêcher les acteurs malveillants d’utiliser Copilot. Au minimum, vous devez configurer des stratégies d’accès conditionnel qui exigent ce qui suit :

• Authentification multifacteur pour tous les utilisateurs
• Appareils approuvés et sains

Recommandations supplémentaires pour Microsoft 365 E3

• Pour l’authentification de compte d’utilisateur et l’accès, configurez également les stratégies d’identité et d’accès afin de bloquer les clients qui ne prennent pas en charge l’authentification moderne.
• Utilisez les capacités de protection de Windows.

Recommandations supplémentaires pour Microsoft 365 E5

Implémentez les recommandations pour E3 et configurez les stratégies d’identité et d’accès suivantes :

• Exiger MFA lorsque le risque de connexion est moyen ou élevé
• Les utilisateurs à haut risque doivent modifier leur mot de passe

Étape 2. Ajouter des protections de sécurité pour le résumé du navigateur Edge

À partir de la barre latérale Microsoft Edge, Microsoft Copilot vous aide à obtenir des réponses et des inspirations provenant du web et, si cela est activé, à partir de certains types d’informations affichées dans des onglets de navigateur ouverts.

Voici quelques exemples de pages web privées ou organisationnelles et de types de documents que Copilot dans Edge peut résumer :

• Sites intranet tels que SharePoint, à l’exception des documents Office incorporés
• Outlook Web App
• Fichiers PDF, y compris ceux stockés sur l’appareil local
• Sites non protégés par des stratégies DLP Microsoft Purview, des stratégies de gestion des applications mobiles (GAM) ou des stratégies GPM

Remarque

Pour obtenir la liste actuelle des types de documents pris en charge par Copilot dans Edge pour l’analyse et le résumé, consultez Comportement de résumé de la page web Copilot dans Edge.

Les sites et documents d’organisation potentiellement sensibles que Copilot dans Edge peut résumer peuvent être stockés dans des emplacements locaux, intranet ou cloud. Ces données d’organisation peuvent être exposées à un attaquant qui a accès à l’appareil et utilise Copilot dans Edge pour produire rapidement des résumés de documents et de sites.

Les données d’organisation pouvant être résumées par Copilot dans Edge peuvent inclure ce qui suit:

• Ressources locales sur l’ordinateur de l’utilisateur

  Fichiers PDF ou informations affichées dans un onglet de navigateur Edge par des applications locales qui ne sont pas protégées par des stratégies GAM

• Ressources intranet

  Fichiers PDF ou sites pour des applications et services internes qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

• Sites Microsoft 365 qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

• Ressources Microsoft Azure

  Fichiers PDF sur des machines virtuelles ou des sites pour des applications SaaS qui ne sont pas protégées par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

• Sites de produits cloud tiers pour des applications et services SaaS basés sur le cloud qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies MDA

Utilisez cette phase pour implémenter des niveaux de sécurité afin d’empêcher des acteurs malveillants d’utiliser Copilot pour découvrir et accéder plus rapidement aux données sensibles. Au minimum, vous devez :

• Déployer des protections de sécurité et de conformité des données avec Microsoft Purview
• Configurer les autorisations utilisateur minimales sur les données
• Déployer la protection contre les menaces pour les applications cloud avec Microsoft Defender for Cloud Apps

Pour plus d’informations sur Copilot dans Edge, consultez :

• Copilot dans Edge
• Comportement de résumé de la page web Copilot dans Edge

Cette illustration montre les jeux de données disponibles pour Microsoft Copilot dans Edge avec résumé du navigateur activé.

Recommandations pour E3 et E5

• Implémentez des stratégies de protection des applications (APP) Intune pour la protection des données. Les stratégies APP peuvent empêcher la copie accidentelle ou intentionnelle de contenu généré par Copilot sur des applications sur un appareil qui ne figurent pas dans la liste des applications autorisées. APP peut limiter le rayon d’explosion d’un attaquant à l’aide d’un appareil compromis.

• Activez Microsoft Defender pour Office 365 Plan 1, qui comprend Exchange Online Protection (EOP) pour les pièces jointes sécurisées, les liens sécurisés, les seuils avancés d’hameçonnage et la protection contre l’emprunt d’identité, ainsi que les détections en temps réel.

Phase 3. Effectuez les protections de sécurité recommandées pour Microsoft 365 Copilot.

Microsoft 365 Copilot peut utiliser les jeux de données suivants pour traiter les invites basées sur Graph :

• Vos données de locataire Microsoft 365
• Données Internet via Recherche Bing (si activé)
• Données utilisées par les plug-ins et connecteurs compatibles avec Copilot

Pour plus d’informations, consultez Appliquer les principes de Confiance Zéro à Microsoft 365 Copilot.

Recommandations pour E3

Implémentez ce qui suit :

• Stratégies de conformité des appareils et de gestion des appareils Intune

• Protection des données dans votre locataire Microsoft 365

  • Étiquette de confidentialité

  • Stratégies de protection contre la perte de données (DLP)

  • Stratégies de rétention

• Activer Microsoft Defender for Endpoint

Recommandations pour E5

Implémentez les recommandations pour E3 et les éléments suivants :

• Utilisez une plus grande plage de classifieurs pour rechercher des informations sensibles.
• Automatisez vos étiquettes de rétention.
• Essayez les capacités du Plan 2 dans Defender pour Office 365, qui incluent l’investigation après violation, la chasse ainsi que la réponse, l’automatisation et la simulation.
• Activez Microsoft Defender for Cloud Apps.
• Configurez Defender for Cloud Apps pour découvrir les applications cloud et surveiller et auditer leur comportement.

Phase 4. Maintenir les protections de sécurité pendant que vous utilisez conjointement Microsoft Copilot et Microsoft 365 Copilot

Avec une licence pour Microsoft 365 Copilot, vous verrez un bouton bascule Professionnel/Web dans le navigateur Edge, Windows et la recherche Bing qui vous permet de basculer entre l’utilisation de :

• Invites basées sur Graph envoyées à Microsoft 365 Copilot (bouton bascule défini sur Professionnel).
• Prompts web qui utilisent principalement des données Internet (bouton bascule défini sur Web).

Voici un exemple pour copilot.microsoft.com.

Cette illustration montre le flux des prompts basés sur Graph et sur le web.

Comme le montre le diagramme :

• Les utilisateurs sur les appareils disposant d’une licence pour Microsoft 365 Copilot peuvent choisir le mode Professionnel ou Web pour les invites Microsoft Copilot.
• S’ils choisissent Professionnel, les invites basées sur Graph sont envoyées à Microsoft 365 Copilot pour traitement.
• S’ils choisissent Web, les prompts basés sur le web entrés via Windows, Bing ou Edge utilisent des données Internet lors du traitement.
• Dans le cas de Edge et lorsqu’il est activé, Windows Copilot inclut certains types de données dans les onglets Edge ouverts lors du traitement.

Si l’utilisateur n’a pas de licence pour Microsoft 365 Copilot, le bouton bascule Professionnel/Web n’est pas affiché, et toutes les invites sont basées sur le web.

Voici les ensembles de données d’organisation accessibles pour Microsoft Copilot, qui incluent à la fois les prompts basés sur Graph et basés sur le web.

Dans l’illustration, les blocs ombrés jaunes concernent les données de votre organisation accessibles via Copilot. L’accès à ces données par un utilisateur via Copilot dépend des autorisations aux données accordées au compte d’utilisateur. Il peut également dépendre de l’état de l’appareil de l’utilisateur si l’accès conditionnel est configuré pour l’utilisateur ou pour l’accès à l’environnement où résident les données. Conformément aux principes de Confiance Zéro, il s’agit des données que vous souhaitez protéger en cas de compromission d’un compte d’utilisateur ou d’un appareil.

• Pour les prompts basés sur Graph (bouton bascule défini sur Professionnel), cela inclut les éléments suivants :

  • Vos données de locataire Microsoft 365

  • Données pour les plug-ins et connecteurs compatibles avec Copilot

  • Données Internet (si le plug-in web est activé)

• Pour les prompts basés sur le web à partir du navigateur Edge avec résumé de l’onglet de navigateur ouvert activé (bouton bascule défini sur Web), cela peut inclure des données d’organisation qui peuvent être résumées par Copilot dans Edge à partir d’emplacements locaux, intranet et cloud.

Utilisez cette phase pour vérifier votre implémentation des niveaux de sécurité suivants afin d’empêcher les acteurs malveillants d’utiliser Copilot pour accéder à vos données sensibles :

• Déployer des protections de sécurité et de conformité des données avec Microsoft Purview
• Configurer les autorisations utilisateur minimales sur les données
• Déployer la protection contre les menaces pour les applications cloud avec Microsoft Defender for Cloud Apps

Recommandations pour E3

• Passez en revue votre configuration et les fonctionnalités de Defender pour Office 365 Plan 1 et Defender for Endpoint Plan 1, et implémentez des capacités supplémentaires si nécessaire.
• Configurez les niveaux de protection appropriés pour Microsoft Teams.

Recommandations pour E5

Implémentez les recommandations pour E3 et étendez les capacités XDR dans votre locataire Microsoft 365 :

• Activez Microsoft Defender pour Identity.

• Passez en revue votre configuration et implémentez des capacités supplémentaires si nécessaire pour augmenter votre protection contre les menaces avec la suite Microsoft Defender XDR complète :

  • Defender pour point de terminaison

  • Defender pour Office 365

  • Defender pour Identity

  • Defender for Cloud Apps

  • Configurer des stratégies de session pour Defender for Cloud Apps

Résumé de la configuration

Cette figure récapitule les configurations Microsoft Copilot et les données accessibles obtenues que Copilot utilise pour répondre aux prompts.

Ce tableau inclut des recommandations de Confiance Zéro pour votre configuration choisie.

Configuration	Données accessibles	Recommandations de Confiance Zéro
Sans licences Microsoft 365 Copilot (bouton bascule Professionnel/Web non disponible) AND Résumé de la page du navigateur Edge désactivé	Pour les prompts basés sur le web, données Internet uniquement	Aucune obligatoire, mais fortement recommandée pour l’hygiène globale de la sécurité.
Sans licences Microsoft 365 Copilot (bouton bascule Professionnel/Web non disponible) AND Résumé de la page du navigateur Edge activé	Pour les prompts basés sur le web : - Données Internet - Données d’organisation à des emplacements locaux, intranet et cloud que Copilot dans Edge peut résumer	Pour votre locataire Microsoft 365, consultez Confiance Zéro pour Microsoft 365 Copilot et appliquez des protections Confiance Zéro. Pour les données d’organisation à des emplacements locaux, intranet et cloud, consultez Vue d’ensemble de la gestion des appareils avec Intune pour les stratégies GAM et GPM. Consultez également Gérer la confidentialité et la protection des données avec Microsoft Priva et Microsoft Purview pour les stratégies DLP.
Avec licences Microsoft 365 Copilot (bouton bascule Professionnel/Web disponible) AND Résumé de la page du navigateur Edge désactivé	Pour les prompts basés sur Graph : - Données de locataire Microsoft 365 - Données Internet si le plug-in web est activé - Données pour les plug-ins et connecteurs compatibles avec Copilot Pour les prompts basés sur le web, données internet uniquement	Pour votre locataire Microsoft 365, consultez Confiance Zéro pour Microsoft 365 Copilot et appliquez des protections Confiance Zéro.
Avec licences Microsoft 365 Copilot (bouton bascule Professionnel/Web disponible) AND Résumé de la page du navigateur Edge activé	Pour les prompts basés sur Graph : - Données de locataire Microsoft 365 - Données Internet si le plug-in web est activé - Données pour les plug-ins et connecteurs compatibles avec Copilot Pour les prompts basés sur le web : - Données Internet - Données d’organisation qui peuvent être affichées dans une page de navigateur Edge, notamment les ressources locales, cloud et intranet	Pour votre locataire Microsoft 365, consultez Confiance Zéro pour Microsoft 365 Copilot et appliquez des protections Confiance Zéro. Pour les données d’organisation à des emplacements locaux, intranet et cloud, consultez Vue d’ensemble de la gestion des appareils avec Intune pour les stratégies GAM et GPM. Consultez également Gérer la confidentialité et la protection des données avec Microsoft Priva et Microsoft Purview pour les stratégies DLP.

Étapes suivantes

Consultez ces articles supplémentaires pour Confiance Zéro et Microsoft Copilote :

• Vue d’ensemble
• Microsoft 365 Copilot
• Microsoft Copilot pour la sécurité

Références

Reportez-vous à ces liens pour en savoir plus sur les différents services et technologies mentionnés dans cet article.

• Copilot dans Edge
• Comportement de résumé de la page web Copilot dans Edge
• Gérer Copilot dans Windows
• Gérer l’accès au contenu web public dans les réponses Microsoft 365 Copilot
• Données, confidentialité et sécurité pour Microsoft 365 Copilot