Examiner comment Microsoft 365 Copilot protège les données métier sensibles
Le modèle d’autorisations relatif à votre locataire Microsoft 365 peut vous aider à garantir que les données ne fuient pas involontairement entre les utilisateurs, les groupes et les locataires. Microsoft 365 Copilot présente uniquement les données auxquelles chaque individu peut accéder à l’aide des mêmes contrôles sous-jacents pour l’accès aux données utilisés dans d’autres services Microsoft 365. Microsoft Graph et l’index sémantique pour Copilot sont également des sources de données. Par conséquent, ils respectent également la délimitation d’accès basée sur l’identité de l’utilisateur. Ce faisant, le processus de mise en terre accède uniquement au contenu auquel l’utilisateur actuel est autorisé à accéder. Pour plus d’informations, consultez la politique de confidentialité et la documentation du service de Microsoft.
Lorsque vous avez des données sur la protection des données Microsoft Purview chiffrées, Microsoft 365 Copilot ne les retourne pas, sauf si l’utilisateur dispose au moins du droit d'utilisation de l'affichage. Vous pouvez appliquer le chiffrement à l’aide d’étiquettes de confidentialité ou d’autorisations restreintes dans Microsoft 365 Apps via la gestion des droits de l'information (IRM). Bien que le contenu généré par Microsoft 365 Copilot puisse hériter des autorisations ou du label les plus restrictifs de la source, Microsoft 365 Copilot cite la source d'origine, qui conserve la protection.
Les équipes de sécurité mènent une bataille asymétrique contre des attaquants bien équipés, organisés et sophistiqués. Pour protéger leurs organisations, les professionnels de la sécurité doivent répondre aux menaces que le bruit du système masque souvent. Le bruit système inclut généralement les grandes quantités de données et d’alertes générées par les systèmes de sécurité qui peuvent rendre difficile la détection des menaces réelles. Ce défi est dû à une insuffisance mondiale de professionnels de la sécurité qualifiés.
Microsoft traite ces problèmes de sécurité sur plusieurs fronts. Dans Microsoft 365, Microsoft met en œuvre plusieurs formes de protection pour aider à empêcher les organisations de compromettre les données professionnelles sensibles et les services et applications Microsoft 365. Cette protection empêche également les clients d’obtenir un accès non autorisé à d’autres clients ou au système Microsoft 365 lui-même. Ces formes de protection sont les suivantes :
Contrôles d’accès. Tout d’abord, en implémentant une authentification multifacteur forte, les comptes Microsoft 365 sont plus résistants aux compromissions d’informations d’identification ou aux attaques par hameçonnage. Ensuite, pour empêcher la découverte latérale et le déplacement, il est recommandé d’adopter une stratégie « Juste assez d’accès » pour éviter une sur-transmission de l’accès utilisateur aux données. Microsoft 365 Copilot n'accède qu'aux données auxquelles les utilisateurs individuels ont au moins l'autorisation d'accéder au sein des services Microsoft 365 tels que SharePoint, OneDrive et Teams. Par exemple, si un utilisateur n’a pas accès à un dossier de projet confidentiel dans SharePoint, Microsoft 365 Copilot ne peut pas afficher ce contenu pour générer des réponses. Pour le contenu accessible via les plug-ins Microsoft 365 Copilot, le chiffrement peut exclure l’accès programmatique, ce qui peut empêcher l’accès au contenu par le plug-in. Pour plus d’informations, consultez Configurer des droits d’utilisation pour Azure Information Protection.
Instances isolées. L’un des principaux avantages de cloud computing est le concept d’une infrastructure commune partagée entre de nombreux clients simultanément, ce qui entraîne des économies d’échelle. Microsoft s’assure que les données sont isolées logiquement par le client et chiffrées en mouvement et au repos, conformément à ses engagements envers les clients d’entreprise. Par exemple, Microsoft 365 Copilot s’exécutant dans le client de Contoso ne peut pas voir les données du client de Fabrikam. L’isolation logique du contenu d’une organisation au sein de chaque client pour Microsoft 365 services est obtenue par le biais de l’autorisation Microsoft Entra et du contrôle d’accès en fonction du rôle. Pour plus d’informations, consultez Contrôles d’isolation Microsoft 365.
Remarque
Azure Active Directory Domain Services (Azure AD) est désormais Microsoft Entra ID. En savoir plus.
Chiffrement. Microsoft 365 utilise des technologies côté service qui chiffrent les données d’une organisation au repos et en transit, notamment BitLocker, TLS (Transport Layer Security) et Internet Protocol Security (IPsec). Toutes les données transmises entre les composants cloud Microsoft 365 Copilot sont chiffrées à l’aide des dernières normes de chiffrement telles que TLS 1.2. Les données stockées au repos sont également chiffrées. Cette conception empêche l’accès non autorisé aux données en transit ou en stockage. Si un(e) utilisateur(-trice) a accès aux données chiffrées dans Dynamics 365 et Power Platform et qu’il les fournit à Copilot, Copilot peut y accéder. Pour plus d’informations sur le chiffrement dans Microsoft 365, consultez Chiffrement dans Microsoft cloud.
Limite de conformité. Lorsque vous entrez une requête à l’aide de Microsoft 365 Copilot, les informations contenues dans votre requête, les données qu’elle récupère et la réponse générée restent dans la délimitation du service Microsoft 365. Cette conception est conforme aux engagements actuels de Microsoft en matière de confidentialité, de sécurité et de conformité. Toutefois, les administrateurs peuvent choisir de laisser les données hors de la limite de conformité ; par exemple, pour interroger le web public à l’aide de Microsoft Bing.
Aucune donnée d’entraînement utilisée. Microsoft 365 Copilot n’utilise aucune donnée client, y compris les requêtes entrées par les utilisateurs, pour entraîner ou améliorer ses modèles IA sous-jacents. Microsoft 365 Copilot utilise uniquement le contexte actuel de l’utilisateur pour mettre en forme les réponses.
IA responsable. Microsoft respecte les principes du développement responsable de l’IA, notamment la confidentialité, la sécurité, l’inclusivité et la transparence. Cela favorise le traitement éthique des données sensibles. L'engagement de Microsoft à se conformer aux lois et aux normes largement applicables en matière de confidentialité, telles que la norme ISO/IEC 27018, premier code international de bonnes pratiques pour la confidentialité dans le cloud, renforce le contrôle d'une organisation sur ses données.
Mesures de sécurité. Microsoft 365 Copilot utilise les mesures de sécurité complètes de Microsoft, telles que la surveillance des menaces, les évaluations des vulnérabilités et les contrôles de protection des données. Cette conception permet de sécuriser le service et l’infrastructure Microsoft 365 Copilot.
Comment Copilot protège les données client
Microsoft est justement positionné pour fournir une IA prête pour l’entreprise. Microsoft 365 Copilot est alimenté par Azure OpenAI Service. Il est conforme aux engagements existants de Microsoft en matière de confidentialité, de sécurité et de réglementation vis-à-vis de ses clients.
Fondée sur l'approche globale de Microsoft en matière de sécurité, de confidentialité et de conformité. Copilot est intégré aux services Microsoft tels que Microsoft 365, Dynamics 365 et Power Platform. Il hérite de leurs stratégies et processus de sécurité, de confidentialité et de conformité, tels que l’authentification multifacteur et les limites de conformité.
Plusieurs formes de protection protègent les données organisationnelles. Les technologies côté service chiffrent le contenu organisationnel au repos et en transit pour une sécurité robuste. Connections sont protégées par TLS (Transport Layer Security) et les transferts de données entre Microsoft 365, Dynamics 365, Power Platform et Azure OpenAI se produisent sur le réseau principal Microsoft. Cette conception garantit à la fois la fiabilité et la sécurité. Pour plus d'informations, voir Chiffrement dans le nuage Microsoft Cloud.
Conçu pour protéger vos données au niveau du locataire et de l’environnement. La fuite de données est une préoccupation majeure pour les clients. Les modèles d’IA Microsoft ne sont pas formés sur et n’apprennent pas à partir de vos données de locataire ou de vos invites. La seule exception à cette règle est quand l’administrateur(-trice) client d’un organisation choisit de partager des données avec Microsoft. Dans vos environnements, vous pouvez contrôler l’accès via les autorisations que vous avez configurées. Les mécanismes d’authentification et d’autorisation séparent les requêtes adressées au modèle partagé entre les locataires.
Importante
Microsoft 365 Copilot utilise uniquement les données auxquelles l’utilisateur(-trice) peut accéder. Ce faisant, elle utilise la même technologie que Celle utilisée par Microsoft pendant des années pour sécuriser les données client.