Protections de la conformité et de la sécurité des données Microsoft Purview pour les applications d’intelligence artificielle générées

Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité

Utilisez Microsoft Purview pour atténuer et gérer les risques associés à l’utilisation de l’IA, et implémenter les contrôles de protection et de gouvernance correspondants.

Les sections suivantes de cette page fournissent une vue d’ensemble des Gestion de la posture de sécurité des données pour l’IA et des fonctionnalités de Microsoft Purview qui fournissent des contrôles de conformité et de sécurité des données supplémentaires pour accélérer l’adoption par votre organization de Copilots et d’agents, ainsi que d’autres applications d’IA générative.

Dans certaines solutions Microsoft Purview, vous pouvez voir les applications IA prises en charge regroupées par les noms de catégorie suivants :

• Expériences et agents Copilot ouexpériences Microsoft Copilot pour copilotes et agents pris en charge, notamment :

  • Microsoft 365 Copilot
  • Security Copilot
  • Copilot dans Fabric
  • Copilot Studio

• Les applications IA d’entreprise pour les agents et applications IA non-Copilot connectés à votre organization via l’inscription Entra, des connecteurs de données, des Azure AI Foundry et d’autres méthodes, et incluent :

  • Applications IA inscrites dans Entra
  • ChatGPT Entreprise
  • Services Azure AI

• D’autres applications IA détectées par le biais de l’activité du navigateur et classées comme « IA générative » dans le catalogue Defender for Cloud Apps, notamment :

  • ChatGPT
  • Google Gemini
  • Microsoft Copilot (version grand public)
  • DeepSeek

Pour obtenir une répartition des fonctionnalités de sécurité et de conformité prises en charge par Microsoft Purview pour les interactions ia par application, consultez les pages supplémentaires identifiées dans le tableau suivant. Lorsque ces applications IA prennent en charge les agents, elles héritent des mêmes fonctionnalités de sécurité et de conformité que leur application IA parente. Toutefois, pour obtenir un résumé rapide, consultez Utiliser Microsoft Purview pour gérer la sécurité des données & la conformité pour les agents IA.

Expériences et agents Copilot	Applications IA d’entreprise	Autres applications IA
Microsoft 365 Copilot & Microsoft 365 Copilot Chat	Applications IA inscrites dans Entra	Autres applications IA
Sécurité Microsoft Copilot	Services Azure AI
Copilot dans Fabric	ChatGPT Entreprise
Microsoft Copilot Studio
Facilitateur Microsoft

Si vous débutez avec Microsoft Purview, vous trouverez peut-être également une vue d’ensemble du produit utile : En savoir plus sur Microsoft Purview.

Gestion de la posture de sécurité des données Microsoft Purview pour l’IA

Utilisez Gestion de la posture de sécurité des données Microsoft Purview (DSPM) pour l’IA comme porte d’entrée pour découvrir, sécuriser et appliquer des contrôles de conformité pour l’utilisation de l’IA dans votre entreprise. Cette solution utilise les contrôles existants de la gestion de la conformité et de la protection des informations Microsoft Purview avec des outils graphiques et des rapports faciles à utiliser pour obtenir rapidement des insights sur l’utilisation de l’IA au sein de votre organization. Grâce à des recommandations personnalisées, les stratégies en un clic vous aident à protéger vos données et à vous conformer aux exigences réglementaires.

Pour plus d’informations, consultez En savoir plus sur Gestion de la posture de sécurité des données (DSPM) pour l’IA.

Microsoft Purview renforce la protection des informations pour les applications IA

En raison de la puissance et de la vitesse que l’IA peut exposer de manière proactive du contenu, l’IA générative amplifie le problème et le risque de surpartage ou de fuite de données. Découvrez comment les fonctionnalités de protection des informations de Microsoft Purview peuvent vous aider à renforcer vos solutions de sécurité des données existantes.

Étiquettes de confidentialité et interactions ia

Les applications IA prises en charge par Microsoft Purview utilisent des contrôles existants pour garantir que les données stockées dans votre locataire ne sont jamais retournées à l’utilisateur ou utilisées par un modèle LLM (Large Language Model) si l’utilisateur n’a pas accès à ces données. Lorsque les données ont des étiquettes de confidentialité de votre organization appliquées au contenu, il existe une couche de protection supplémentaire :

• Lorsqu’un fichier est ouvert dans Word, Excel, PowerPoint ou un événement de courrier électronique ou de calendrier est ouvert dans Outlook, la sensibilité des données est affichée aux utilisateurs de l’application avec le nom d’étiquette et les marquages de contenu (tels que le texte d’en-tête ou de pied de page) qui ont été configurés pour l’étiquette. Loop composants et pages prennent également en charge les mêmes étiquettes de confidentialité.

• Lorsque l’étiquette de confidentialité applique le chiffrement, les utilisateurs doivent avoir le droit d’utilisation EXTRACT, ainsi que VIEW, pour que les applications IA retournent les données.

• Cette protection s’étend aux données stockées en dehors de votre locataire Microsoft 365 lorsqu’elles sont ouvertes dans une application Office (données en cours d’utilisation). Par exemple, le stockage local, les partages réseau et le stockage cloud.

Conseil

Si vous ne l’avez pas déjà fait, nous vous recommandons d’activer les étiquettes de confidentialité pour SharePoint et OneDrive et de vous familiariser avec les types de fichiers et les configurations d’étiquettes que ces services peuvent traiter. Lorsque les étiquettes de confidentialité ne sont pas activées pour ces services, les fichiers chiffrés auxquels Copilot et les agents peuvent accéder sont limités aux données utilisées à partir des applications Office sur Windows.

Pour les instructions, consultez Activer les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive.

Si vous n’utilisez pas encore d’étiquettes de confidentialité, consultez Prise en main des étiquettes de confidentialité.

Chiffrement sans étiquettes de confidentialité et interactions IA

Même si une étiquette de confidentialité n’est pas appliquée au contenu, les services et les produits peuvent utiliser les fonctionnalités de chiffrement du service Azure Rights Management. Par conséquent, les applications IA peuvent toujours case activée pour les droits d’utilisation VIEW et EXTRACT avant de retourner des données et des liens à un utilisateur, mais il n’y a pas d’héritage automatique de protection pour les nouveaux éléments.

Conseil

Vous bénéficiez de la meilleure expérience utilisateur lorsque vous utilisez toujours des étiquettes de confidentialité pour protéger vos données et que le chiffrement est appliqué par une étiquette.

Exemples de produits et de services qui peuvent utiliser les fonctionnalités de chiffrement du service Azure Rights Management sans étiquettes de confidentialité :

• Chiffrement des messages Microsoft Purview
• Gestion des droits relatifs à l'information (IRM)
• Connecteur Microsoft Rights Management
• Microsoft Rights Management

Pour les autres méthodes de chiffrement qui n’utilisent pas le service Azure Rights Management :

• Les e-mails protégés par S/MIME ne seront pas retournés par Copilot, et Copilot n’est pas disponible dans Outlook lorsqu’un e-mail protégé par S/MIME est ouvert.

• Les documents protégés par mot de passe ne sont pas accessibles par les applications IA, sauf s’ils sont déjà ouverts par l’utilisateur dans la même application (données en cours d’utilisation). Les mots de passe ne sont pas hérités par un élément de destination.

Comme avec d’autres services Microsoft 365, tels que la découverte électronique et la recherche, les éléments chiffrés avec la clé client Microsoft Purview ou votre propre clé racine (BYOK) sont pris en charge et peuvent être retournés par Copilot.

Protection contre la perte de données et interactions avec l’IA

Protection contre la perte de données Microsoft Purview (DLP) vous permet d’identifier les éléments sensibles dans les services et points de terminaison Microsoft 365, de les surveiller et de vous protéger contre les fuites de ces éléments. Il utilise l’inspection approfondie du contenu et l’analyse contextuelle pour identifier les éléments sensibles et applique des stratégies pour protéger les données sensibles telles que les dossiers financiers, les informations de santé ou la propriété intellectuelle.

Les ordinateurs Windows intégrés à Microsoft Purview peuvent être configurés pour les stratégies de protection contre la perte de données (DLP) de point de terminaison qui avertissent ou empêchent les utilisateurs de partager des informations sensibles avec des sites d’IA générative tiers accessibles via un navigateur. Par exemple, un utilisateur ne peut pas coller des numéros de carte de crédit dans ChatGPT, ou il voit un avertissement qu’il peut remplacer. Pour plus d’informations sur les actions DLP prises en charge et sur les plateformes qui les prennent en charge, consultez les deux premières lignes du tableau des activités de point de terminaison que vous pouvez surveiller et prendre des mesures.

En outre, une stratégie DLP étendue à un emplacement IA peut empêcher les applications IA de traiter du contenu sensible. Par exemple, une stratégie DLP peut empêcher Microsoft 365 Copilot de résumer les fichiers en fonction d’étiquettes de confidentialité telles que « Hautement confidentiel ». Après avoir activé cette stratégie, Microsoft 365 Copilot et les agents ne résument pas les fichiers étiquetés « Hautement confidentiels », mais peuvent les référencer avec un lien afin que l’utilisateur puisse ensuite ouvrir et afficher le contenu à l’aide de Word. Pour plus d’informations sur les applications IA qui prennent en charge cette configuration DLP, consultez En savoir plus sur l’emplacement de la stratégie Microsoft 365 Copilot.

Interactions entre la gestion des risques internes et l’IA

Gestion des risques internes Microsoft Purview vous permet de détecter, d’examiner et d’atténuer les risques internes tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. Il tire parti des modèles Machine Learning et de divers signaux de Microsoft 365 et d’indicateurs tiers pour identifier les activités potentielles malveillantes ou par inadvertance des initiés. La solution inclut des contrôles de confidentialité tels que la pseudonymisation et l’accès en fonction du rôle, garantissant la confidentialité au niveau de l’utilisateur tout en permettant aux analystes des risques de prendre les mesures appropriées.

Utilisez le modèle de stratégie d’utilisation de l’IA à risque pour détecter l’utilisation à risque, notamment les attaques par injection d’invite et l’accès à des documents protégés. Les insights de ces signaux sont intégrés à Microsoft Defender XDR pour fournir une vue complète des risques liés à l’IA.

Classification des données et interactions ia

La classification des données Microsoft Purview fournit une infrastructure complète pour l’identification et l’étiquetage des données sensibles dans différents services Microsoft, notamment Office 365, Dynamics 365 et Azure. La classification des données est souvent la première étape pour garantir la conformité aux réglementations en matière de protection des données et la protection contre tout accès non autorisé, toute modification ou destruction. Vous pouvez utiliser des classifications système intégrées ou créer les vôtres.

Les types d’informations sensibles et les classifieurs pouvant être entraînés peuvent être utilisés pour rechercher des données sensibles dans les invites et les réponses des utilisateurs lorsqu’ils utilisent des applications IA. Les informations résultantes apparaissent ensuite dans le tableau de bord de classification des données et l’Explorateur d’activités dans Gestion de la posture de sécurité des données pour l’IA.

Microsoft Purview prend en charge la gestion de la conformité pour les applications IA

Les interactions à l’aide d’applications IA prises en charge peuvent être surveillées pour chaque utilisateur de votre locataire. Par conséquent, avec la classification des données, vous pouvez utiliser l’audit de Microsoft Purview, la conformité des communications, l’eDiscovery avec la recherche de contenu et les fonctionnalités de rétention et de suppression automatiques de la gestion du cycle de vie des données pour gérer cette utilisation de l’IA.

Audit et interactions ia

les solutions Microsoft Purview Audit fournissent des outils complets pour la recherche et la gestion des enregistrements d’audit des activités effectuées sur différents services Microsoft par les utilisateurs et les administrateurs, et aident les organisations à répondre efficacement aux événements de sécurité, aux enquêtes judiciaires, aux enquêtes internes et aux obligations de conformité.

Comme les autres activités, les invites et les réponses sont capturées dans le journal d’audit unifié. Les événements incluent comment et quand les utilisateurs interagissent avec l’application IA, et peuvent inclure le service Microsoft 365 dans lequel l’activité a eu lieu, ainsi que les références aux fichiers stockés dans Microsoft 365 qui ont été consultés pendant l’interaction. Si une étiquette de confidentialité est appliquée à ces fichiers, elle est également capturée.

Ces événements sont transmis à l’Explorateur d’activités dans Gestion de la posture de sécurité des données pour l’IA, où les données des invites et des réponses peuvent être affichées. Vous pouvez également utiliser la solution Audit à partir du portail Microsoft Purview pour rechercher et rechercher ces événements d’audit.

Pour plus d’informations, consultez Journaux d’audit pour les activités Copilot et IA.

Conformité des communications et interactions ia

Conformité des communications Microsoft Purview fournit des outils pour vous aider à détecter et à gérer la conformité réglementaire et les violations de conduite professionnelle sur différents canaux de communication, notamment les invites et les réponses des utilisateurs pour les applications IA. Il est conçu avec la confidentialité par défaut, en pseudonymisant les noms d’utilisateur et en incorporant des contrôles d’accès en fonction du rôle. La solution permet d’identifier et de corriger les communications inappropriées, telles que le partage d’informations sensibles, le harcèlement, les menaces et le contenu pour adultes.

Pour en savoir plus sur l’utilisation des stratégies de conformité des communications pour les applications IA, consultez Configurer une stratégie de conformité des communications pour détecter les interactions d’IA générative.

eDiscovery avec la recherche de contenu et les interactions ia

Microsoft Purview eDiscovery vous permet d’identifier et de fournir des informations électroniques qui peuvent être utilisées comme preuve dans des affaires juridiques. Les outils eDiscovery de Microsoft Purview prennent en charge la recherche de contenu dans les équipes Exchange Online, OneDrive Entreprise, SharePoint Online, Microsoft Teams, Groupes Microsoft 365 et Viva Engage. Vous pouvez ensuite empêcher la suppression des informations et les exporter.

Étant donné que les invites et réponses des utilisateurs pour les applications IA sont stockées dans la boîte aux lettres d’un utilisateur, vous pouvez créer un cas et utiliser la recherche lorsque la boîte aux lettres d’un utilisateur est sélectionnée comme source pour une requête de recherche. Par exemple, sélectionnez et récupérez ces données à partir de la boîte aux lettres source en sélectionnant dans le générateur de requêtes Add condition>Type>equals any of>Add/Remove more options>Copilot interactions.

Une fois la recherche affinée, vous pouvez exporter les résultats ou les ajouter à un jeu de révisions. Vous pouvez examiner et exporter des informations directement à partir de l’ensemble de révision.

Pour en savoir plus sur l’identification et la suppression des données d’interaction de l’IA utilisateur, consultez Rechercher et supprimer des données Copilot dans eDiscovery

Interactions entre la gestion du cycle de vie des données et l’IA

Gestion du cycle de vie des données Microsoft Purview fournit des outils et des fonctionnalités pour gérer le cycle de vie des données organisationnelles en conservant le contenu nécessaire et en supprimant le contenu inutile. Ces outils garantissent la conformité aux exigences commerciales, légales et réglementaires.

Utilisez des stratégies de rétention pour conserver ou supprimer automatiquement les invites et les réponses des utilisateurs pour les applications IA. Pour plus d’informations sur le fonctionnement de cette rétention, consultez En savoir plus sur la rétention pour les applications Copilot & IA.

Comme pour toutes les stratégies et conservations de rétention, si plusieurs stratégies pour le même emplacement s’appliquent à un utilisateur, les principes de rétention résolvent les conflits. Par exemple, les données sont conservées pendant la durée la plus longue de toutes les stratégies de rétention appliquées ou des conservations eDiscovery.

Interactions du Gestionnaire de conformité et de l’IA

Le Gestionnaire de conformité Microsoft Purview est une solution qui vous permet d’évaluer et de gérer automatiquement la conformité dans votre environnement multicloud. Le Gestionnaire de conformité peut vous aider tout au long de votre parcours de conformité, de l’inventaire des risques de protection de vos données à la gestion des complexités de l’implémentation de contrôles, la mise à jour des réglementations et des certifications et la création de rapports aux auditeurs.

Pour vous aider à rester conforme aux réglementations de l’IA, le Gestionnaire de conformité fournit des modèles réglementaires pour vous aider à évaluer, implémenter et renforcer vos exigences de conformité pour toutes les applications d’IA générative. Par exemple, la surveillance des interactions ia et la prévention de la perte de données dans les applications IA. Pour plus d’informations, consultez Évaluations des réglementations relatives à l’IA.

Autre documentation pour vous aider à sécuriser et à gérer les applications d’IA générative

Annonce du billet de blog : Accélérer l’adoption de l’IA avec des fonctionnalités de sécurité et de gouvernance de nouvelle génération

Microsoft 365 Copilot :

• Documentation Microsoft 365 Copilot
• Appliquer les principes de confiance zéro à Microsoft 365 Copilot

Ressources associées :

• Sécuriser l’IA générative avec Microsoft Entra
• Gouverner les applications et les données IA pour la conformité réglementaire
• Billets de blog (avril 2025) :
  • Comment déployer Microsoft Purview DSPM pour l’IA afin de sécuriser vos applications IA
  • Comment utiliser DSPM pour l’évaluation des risques liés aux données IA afin de résoudre le surpartage interne