Appliquer des principes de confiance zéro à Microsoft Copilot Chat

Résumé : Pour appliquer des principes de confiance zéro à Microsoft Copilot Chat, vous devez :

1. Implémentez des protections de sécurité pour les invites web sur Internet.
2. Ajoutez des protections de sécurité pour le résumé du navigateur Microsoft Edge.

Introduction

Copilot Chat est un compagnon IA dans l’application Microsoft 365 Copilot, dans Edge et aux URL suivantes : M365copilot.com et Copilot.cloud.microsoft. Il est fourni aux utilisateurs du compte Entra disposant d'une licence qualifiante. Copilot Chat inclut la protection des données d’entreprise. La protection des données d’entreprise n’est pas incluse dans Copilot Chat pour une utilisation personnelle (version consommateur). Cet article vous aide à implémenter des protections de sécurité pour assurer la sécurité de votre organisation et des données lors de l’utilisation de Copilot Chat. En implémentant ces protections, vous créez une base de confiance zéro.

Les recommandations de sécurité Confiance Zéro pour Copilot Chat se concentrent sur la protection des comptes d’utilisateurs, des appareils utilisateur et des données de votre organisation qui peuvent être résumées par Copilot Chat dans Edge.

Comment la Confiance Zéro apporte-t-elle une aide avec l’IA ?

La sécurité, en particulier la protection des données, est souvent une préoccupation majeure lors de l’introduction d’outils IA dans une organisation. La Confiance Zéro est une stratégie de sécurité qui vérifie chaque utilisateur, appareil et demande de ressource afin de s’assurer qu’il ou elle est autorisé(e). Le terme « confiance zéro » fait référence à la stratégie de traitement de chaque demande de connexion et de ressource comme si elle provient d’un réseau non contrôlé et d’un mauvais acteur. Quel que soit l’endroit où provient la demande ou la ressource à laquelle elle accède, confiance zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».

En tant que leader en matière de sécurité, Microsoft fournit une feuille de route pratique et des conseils clairs en matière d’implémentation de la Confiance Zéro. L’ensemble des Copilotes de Microsoft reposent sur des plateformes existantes et héritent des protections appliquées à ces plateformes. Pour plus d’informations sur l’application de la Confiance Zéro aux plateformes de Microsoft, consultez le Centre d’aide de la Confiance Zéro. En implémentant ces protections, vous créez une base de sécurité Confiance Zéro.

Cet article s’appuie sur ces conseils pour prescrire les protections Confiance Zéro relatives à Copilot.

Contenu de cet article

Cet article décrit les recommandations de sécurité qui s’appliquent en deux étapes. Cela vous permet d’introduire Copilot Chat dans votre environnement tout en appliquant des protections de sécurité pour les utilisateurs, les appareils et les données accessibles par Copilot.

Étape	Configuration	Composants à sécuriser
1	Prompts basés sur le web vers Internet	Hygiène de sécurité de base pour les utilisateurs et les appareils à l’aide de stratégies d’identité et d’accès.
2	Prompts basés sur le web vers Internet avec résumé de la page de navigateur Edge activé	Les données de votre organisation à des emplacements locaux, intranet et cloud que Copilot dans Edge peut résumer.

Étape 1. Commencer par des recommandations de sécurité pour les prompts basés sur le web vers Internet

La configuration la plus simple de Copilot fournit une assistance IA avec des prompts basés sur le web.

Dans l’illustration :

• Les utilisateurs peuvent interagir avec Copilot Chat via M365copilot.com, Copilot.cloud.microsoft, l’application Microsoft 365 Copilot et Edge.
• Les requêtes sont basées sur le Web. Copilot Chat utilise uniquement les données disponibles publiquement pour répondre aux invites.
• La synthèse de la page du navigateur Edge n’est pas activée.

Avec cette configuration, les données de votre organisation ne sont pas incluses dans l’étendue des données référencées par Copilot Chat. Toutefois, vous devez vous assurer que la synthèse de la page du navigateur n’est pas activée. En tant qu’administrateur, vous pouvez le faire à l’aide du paramètre de stratégie de groupe EdgeEntraCopilotPageContext.

Utilisez cette phase pour implémenter des stratégies d’identité et d’accès pour les utilisateurs et les appareils afin d’empêcher les acteurs malveillants d’utiliser Copilot. Au minimum, vous devez configurer des stratégies d’accès conditionnel qui exigent ce qui suit :

• Authentification multifacteur pour tous les utilisateurs
• Appareils approuvés et sains

Recommandations supplémentaires pour Microsoft 365 E3

• Pour l’authentification de compte d’utilisateur et l’accès, configurez également les stratégies d’identité et d’accès afin de bloquer les clients qui ne prennent pas en charge l’authentification moderne.
• Utilisez les capacités de protection de Windows.

Recommandations supplémentaires pour Microsoft 365 E5

Implémentez les recommandations pour E3 et configurez les stratégies d’identité et d’accès suivantes :

• Exiger MFA lorsque le risque de connexion est moyen ou élevé
• Les utilisateurs à haut risque doivent modifier leur mot de passe

Étape 2. Ajouter des protections de sécurité pour le résumé du navigateur Edge

À partir de la barre latérale microsoft Edge, Microsoft Copilot Chat vous aide à obtenir des réponses et des inspirations sur le web et, si elle est activée, à partir de certains types d’informations affichées dans des onglets de navigateur ouverts.

Si vous avez désactivé le résumé de la page du navigateur, vous devez réactiver cette fonctionnalité. En tant qu’administrateur, vous pouvez le faire à l’aide du paramètre de stratégie de groupe EdgeEntraCopilotPageContext.

Voici quelques exemples de pages web privées ou organisationnelles et de types de documents que Copilot dans Edge peut résumer :

• Sites intranet tels que SharePoint, à l’exception des documents Office incorporés
• Outlook Web App
• Fichiers PDF, y compris ceux stockés sur l’appareil local
• Sites non protégés par des stratégies DLP Microsoft Purview, des stratégies de gestion des applications mobiles (GAM) ou des stratégies GPM

Remarque

Pour obtenir la liste actuelle des types de documents pris en charge par Copilot dans Edge pour l’analyse et le résumé, consultez Comportement de résumé de la page web Copilot dans Edge.

Les sites et documents d’organisation potentiellement sensibles que Copilot dans Edge peut résumer peuvent être stockés dans des emplacements locaux, intranet ou cloud. Ces données d’organisation peuvent être exposées à un attaquant qui a accès à l’appareil et utilise Copilot dans Edge pour produire rapidement des résumés de documents et de sites.

Les données d’organisation pouvant être résumées par Copilot dans Edge peuvent inclure ce qui suit:

• Ressources locales sur l’ordinateur de l’utilisateur

  Fichiers PDF ou informations affichées dans un onglet de navigateur Edge par des applications locales qui ne sont pas protégées par des stratégies GAM

• Ressources intranet

  Fichiers PDF ou sites pour des applications et services internes qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

• Sites Microsoft 365 qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

• Ressources Microsoft Azure

  Fichiers PDF sur des machines virtuelles ou des sites pour des applications SaaS qui ne sont pas protégées par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies GPM

• Sites de produits cloud tiers pour des applications et services SaaS basés sur le cloud qui ne sont pas protégés par des stratégies DLP Microsoft Purview, des stratégies GAM ou des stratégies MDA

Utilisez cette phase pour implémenter des niveaux de sécurité afin d’empêcher des acteurs malveillants d’utiliser Copilot pour découvrir et accéder plus rapidement aux données sensibles. Au minimum, vous devez :

• Déployer des protections de sécurité et de conformité des données avec Microsoft Purview
• Configurer les autorisations utilisateur minimales sur les données
• Déployer la protection contre les menaces pour les applications cloud avec Microsoft Defender for Cloud Apps

Pour plus d’informations sur Copilot dans Edge, consultez :

• Copilot dans Edge
• Comportement de résumé de la page web Copilot dans Edge

Recommandations pour E3 et E5

• Implémentez des stratégies de protection des applications (APP) Intune pour la protection des données. Les stratégies APP peuvent empêcher la copie accidentelle ou intentionnelle de contenu généré par Copilot sur des applications sur un appareil qui ne figurent pas dans la liste des applications autorisées. APP peut limiter le rayon d’explosion d’un attaquant à l’aide d’un appareil compromis.

• Activez Microsoft Defender pour Office 365 Plan 1, qui comprend Exchange Online Protection (EOP) pour les pièces jointes sécurisées, les liens sécurisés, les seuils avancés d’hameçonnage et la protection contre l’emprunt d’identité, ainsi que les détections en temps réel.

Étapes suivantes

Consultez ces articles supplémentaires pour Confiance Zéro et Microsoft Copilote :

• Vue d’ensemble
• Microsoft 365 Copilot
• Microsoft Copilot pour la sécurité

Références

Reportez-vous à ces liens pour en savoir plus sur les différents services et technologies mentionnés dans cet article.

• Copilot dans Edge
• Comportement de résumé de la page web Copilot dans Edge
• Gérer l’accès au contenu web public dans les réponses Microsoft 365 Copilot
• Données, confidentialité et sécurité pour Microsoft 365 Copilot