Appliquer des principes de Confiance Zéro à Microsoft Copilot pour Microsoft 365

  • Article

Résumé : pour appliquer des principes de Confiance Zéro à Microsoft Copilot pour Microsoft 365, vous devez appliquer sept couches de protection à votre locataire Microsoft 365 :

  1. Protection des données
  2. Identités et accès
  3. Protection des applications
  4. Gestion et protection des périphériques
  5. Protection contre les menaces
  6. Collaboration sécurisée avec Teams
  7. Autorisations utilisateur sur les données

Introduction

Avant d’introduire Microsoft Copilot pour Microsoft 365 ou Copilot dans votre environnement, Microsoft vous recommande de créer une base solide de sécurité. Heureusement, des conseils pour une base de sécurité solide existent sous la forme de Confiance Zéro. La stratégie de sécurité Confiance Zéro traite chaque demande de connexion et de ressource comme si elle provient d’un réseau non contrôlé et d’un acteur incorrect. Quel que soit l’endroit où provient la demande ou la ressource à laquelle elle accède, confiance zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».

Cet article décrit les étapes à suivre pour appliquer les principes de sécurité Confiance Zéro pour préparer votre environnement à Copilot de la manière suivante :

Principe de Confiance Zéro Définition Respecté par
Vérifier explicitement Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. Renforcer la validation des informations d’identification d’utilisateur, des exigences de l'appareil, des autorisations et des comportements de l'application.
Utiliser le droit d'accès minimal Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. Valider JEA au sein de votre organisation pour éliminer le sur-partage en veillant à ce que les autorisations appropriées soient affectées aux fichiers, dossiers, Teams et email. Utiliser des étiquettes de confidentialité et des stratégies de protection contre la perte de données pour protéger les données.
Supposer une violation Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. Utilisez Exchange Online Protection (EOP) et les services Microsoft Defender XDR pour empêcher automatiquement les attaques courantes, et pour détecter et répondre aux incidents de sécurité.

Pour connaître les principes de base de Copilot, consultez la vue d'ensemble et la prise en main.

Architecture logique

Vous appliquez Confiance Zéro principes pour Copilot dans toute l’architecture, des utilisateurs et des appareils aux données d'application auxquelles ils ont accès. Le diagramme suivant montre les composants de l'architecture logique.

Diagramme de l’architecture logique pour Copilot.

Comme le montre le diagramme :

  • Les appareils utilisateur disposent de Microsoft 365 Apps installées à partir desquelles les utilisateurs peuvent lancer des invites Copilot
  • Les composants Copilot incluent :
    • Le service Copilot, qui orchestre les réponses aux invites de l’utilisateur
    • Une instance de Microsoft Graph pour les données de votre locataire Microsoft 365
  • Votre client Microsoft 365 qui contient les données de votre organisation

Que contient cet article ?

Cet article vous guide tout au long des étapes permettant d’appliquer les principes de Confiance Zéro pour préparer votre environnement Microsoft 365 pour Copilot.

Step Task Principe(s) de Confiance Zéro appliqué(s)
1 Déployer ou valider votre protection des données Vérifier explicitement
Utiliser le droit d'accès minimal
2 Déployer ou valider vos stratégies d’identité et d’accès Vérifier explicitement
Utiliser le droit d'accès minimal
3 Déployer ou valider vos stratégies App Protection Utiliser le droit d’accès minimal
Supposer une violation
4 Déployer ou valider la gestion et la protection des appareils Vérifier explicitement
5 Déployer ou valider vos services de protection contre les menaces Supposer une violation
6 Déployer ou valider une collaboration sécurisée avec Teams Vérifier explicitement
Utiliser le droit d'accès minimal
7 Déployer ou valider des autorisations utilisateur sur des données Utiliser le droit d'accès minimal

Étant donné que différentes organisations peuvent se trouver à différentes étapes de déploiement de protections Confiance Zéro, dans chacune des étapes suivantes :

  • Si vous n'utilisez PAS les protections décrites dans cette étape, prenez le temps de les piloter et de les déployer avant d'attribuer les licences Copilot.
  • Si vous utilisez certaines des protections décrites dans l’étape, utilisez les informations de l’étape comme liste de contrôle et vérifiez que chaque protection indiquée a été pilotée et déployée avant d’attribuer des licences Copilot.

Pour connaître la dernière prise en charge par Copilot des fonctionnalités liées à la sécurité et d'autres fonctionnalités de Microsoft 365, consultez les exigences de Copilot.

Remarque

À compter du 1er janvier 2024, Copilot sera en disponibilité générale pour Microsoft 365 A3 et A5 destiné aux universités. Pour plus d’informations, consultez ce billet de la communauté technique.

Étape 1. Déployer ou valider votre protection des données

Pour empêcher les données de votre organisation d’être en danger de surexposition ou de sur-partage, l’étape suivante consiste à protéger les données de votre client Microsoft 365. Vous devez vérifier que :

  • Vos données sont classées avec des niveaux de confidentialité.
  • Les étiquettes de confidentialité représentent vos niveaux de confidentialité appliqués par les utilisateurs ou automatiquement.
  • Vous pouvez voir comment les étiquettes de confidentialité sont utilisées dans votre client Microsoft 365.

Ces fonctionnalités de protection des données peuvent également être utilisées pour vous assurer que votre organisation est conforme aux réglementations en matière de données, telles que celles qui traitent de la protection des informations personnelles.

Les fonctionnalités suivantes de Microsoft Purview renforcent la sécurité et la conformité de vos données pour Copilot :

  • Étiquettes de confidentialité et contenu chiffré par Protection des données Microsoft Purview
  • Classification des données
  • Customer Key
  • Conformité des communications
  • Audit
  • Recherche de contenu
  • eDiscovery
  • Rétention et suppression
  • Customer Lockbox

Pour plus d’informations, consultez Protections de la sécurité et de la conformité des données Microsoft Purview pour Microsoft Copilot et Considérations relatives au déploiement des protections de la sécurité et de la conformité des données Microsoft Purview pour Copilot.

Bien démarrer avec E3

Les étiquettes de confidentialité constituent la pierre angulaire de la protection de vos données. Avant de créer les étiquettes pour indiquer la sensibilité des éléments et les actions de protection appliquées, vous devez comprendre la taxonomie de classification existante de votre organisation et la façon dont elle est mappée aux étiquettes que les utilisateurs voient et appliquent dans les applications. Après avoir créé les étiquettes de confidentialité, les publiez et fournissez des conseils aux utilisateurs comment et quand les appliquer dans Word, Excel, PowerPoint et Outlook.

Pour plus d’informations, consultez l’article suivant :

Envisagez d’augmenter l’étiquetage manuel à l’aide des paramètres de stratégie d’étiquette de confidentialité d’une étiquette par défaut et de l’étiquetage obligatoire. Une étiquette par défaut permet de définir un niveau de base pour les paramètres de protection que vous souhaitez appliquer à l'ensemble de votre contenu. L’étiquetage obligatoire garantit aux utilisateurs d’étiqueter des documents et des emails. Toutefois, si la formation des utilisateurs et les autres contrôles n’ont pas été définis, ce paramètre peut entraîner une étiquette inexacte.

Consultez ces ressources supplémentaires pour protéger les données de votre organisation :

  • Créez des stratégies DLP pour les fichiers et les emails.
  • Créez des stratégies de rétention pour conserver ce dont vous avez besoin et supprimer ce que vous n’avez pas.
  • Utilisez l’Explorateur de contenu pour afficher et vérifier les éléments qui ont une étiquette de confidentialité, une étiquette de rétention ou qui ont été classés comme un type d’informations sensibles dans votre organisation.

Étapes suivantes avec E5

Avec Microsoft 365 E5, vous pouvez développer l’étiquetage de confidentialité pour protéger davantage de contenu et d’autres méthodes d’étiquetage. Par exemple, étiqueter des sites SharePoint et Teams à l’aide d’étiquettes de conteneur et étiqueter automatiquement des éléments dans Microsoft 365 et au-delà. Pour plus d’informations, consultez la liste des scénarios d’étiquetage courants et la façon dont ils s’alignent sur les objectifs métier.

Tenez compte de ces fonctionnalités supplémentaires de Microsoft 365 E5 :

  • Étendez vos stratégies de protection contre la perte de données à d’autres emplacements et utilisez un plus grand nombre de classifieurs pour rechercher des informations sensibles.
  • Les étiquettes de rétention peuvent être appliquées automatiquement lorsque des informations sensibles sont trouvées qui ont besoin de paramètres différents de vos stratégies de rétention ou d’un niveau supérieur de gestion.
  • Pour mieux comprendre vos données sensibles et comment elles sont étiquetées, utilisez l’Explorateur d’activités et les fonctionnalités complètes de l’Explorateur de contenu.

Étape 2. Déployer ou valider vos stratégies d’identité et d’accès

Pour éviter que des acteurs malveillants n'utilisent Copilot pour découvrir et accéder plus rapidement à des données sensibles, la première étape consiste à les empêcher d'y accéder. Vous devez vérifier que :

  • Les utilisateurs sont tenus d'utiliser une authentification stricte qui ne peut être compromise en devinant uniquement les mots de passe de l'utilisateur.
  • Les tentatives d’authentification sont évaluées pour leur risque et ont plus d’exigences imposées.
  • Vous pouvez contrôler l'accès accordé aux comptes d'utilisateurs afin d'éviter les partages excessifs.

Bien démarrer avec E3

Microsoft 365 E3 inclut les licences Microsoft Entra ID P1. Avec ce plan, Microsoft recommande d’utiliser des stratégies d’accès conditionnel courantes, qui sont les suivantes :

Veillez à inclure les services Microsoft 365 et vos autres applications SaaS dans l’étendue de ces stratégies.

Si votre environnement comprend des identités hybrides avec des Active Directory Domain Services sur site, assurez-vous de déployer la protection par mot de passe Microsoft Entra. Cette fonction détecte et bloque les mots de passe faibles connus et leurs variantes et peut également bloquer des termes plus faibles dans les mots de passe qui sont spécifiques à votre organisation.

Étapes suivantes avec E5

Microsoft 365 E5 inclut les licences Microsoft Entra ID P2. Commencez à implémenter l’ensemble recommandé d’accès conditionnel et de stratégies associées à Microsoft, notamment :

  • Exiger l'AMF lorsque le risque de connexion est moyen ou élevé.
  • Exiger que les utilisateurs à haut risque modifient leur mot de passe (applicable lorsque vous n’utilisez pas l’authentification sans mot de passe).

Pour plus d’informations sur l’implémentation de la protection pour l’identité et l’accès en fonction de votre plan de licence, consultez Augmenter la sécurité de connexion pour les workers hybrides avec MFA.

Microsoft 365 E5 et Microsoft Entra ID P2 incluent tous deux davantage de protection pour les comptes privilégiés. Implémentez les fonctionnalités résumées dans le tableau suivant.

Fonctionnalité Ressources
Privileged Identity Management (PIM) Fournit des protections pour les comptes privilégiés qui accèdent aux ressources, y compris les ressources de Microsoft Entra ID, Azure et autres Microsoft Online Services tels que Microsoft 365 ou Microsoft Intune. Consultez Planification du déploiement de Privileged Identity Management.
Privileged Access Management Microsoft Purview Permet un contrôle d'accès granulaire sur les tâches d'administration privilégiées d'Exchange Online dans Office 365. Cela peut aider à protéger votre organisation des violations qui utilisent des comptes d’administrateurs privilégiés existants avec un accès permanent aux données sensibles, ou l’accès aux paramètres de configuration critiques. Consultez la vue d’ensemble de la gestion des accès privilégiés.

Enfin, envisagez d’implémenter des révisions d’accès dans le cadre de votre stratégie JEA globale. Les révisions d'accès permettent à votre organisation de gérer efficacement l'appartenance à un groupe, l'accès aux applications d'entreprise et l'attribution des rôles. L'accès des utilisateurs peut être revu régulièrement afin de s'assurer que seules les bonnes personnes disposent d'un accès continu approprié.

Étape 3. Déployer ou valider vos stratégies App Protection

Pour Microsoft 365 E3 et E5, utilisez des stratégies Intune App Protection (APP) qui sont des règles qui garantissent que les données d’une organisation restent sécurisées ou contenues dans une application managée.

Avec APP, Intune crée un mur entre les données de votre organisation et les données personnelles. APP vérifiez que les données de l’organisation dans les applications spécifiées ne peuvent pas être copiées et collées vers d’autres applications sur l’appareil, même si l’appareil n’est pas géré.

L’application peut empêcher la copie accidentelle ou intentionnelle de contenu généré par Copilot sur des applications sur un appareil qui ne sont pas incluses dans la liste des applications autorisées. APP peut limiter le rayon d’explosion d’un attaquant à l’aide d’un appareil compromis.

Pour plus d’informations, consultez Créer une stratégie de protection des applications.

Étape 4. Déployer ou valider la gestion et la protection de vos appareils

Pour empêcher les acteurs malveillants de compromettre les appareils ou d’utiliser des appareils compromis pour accéder à Copilot, l’étape suivante consiste à utiliser les fonctionnalités de gestion et de protection des appareils Microsoft 365. Vous devez vérifier que :

  • Les appareils sont inscrits dans Microsoft Intune et doivent respecter les exigences d’intégrité et de conformité.
  • Vous pouvez administrer les paramètres et les fonctionnalités sur les appareils.
  • Vous pouvez surveiller vos appareils pour leur niveau de risque.
  • Vous pouvez empêcher de manière proactive la perte de données.

Bien démarrer avec E3

Microsoft 365 E3 inclut Microsoft Intune pour la gestion des appareils.

Ensuite, commencez à inscrire des appareils dans la gestion. Une fois inscrits, configurez des stratégies de conformité, puis exigez des appareils intègres et conformes. Enfin, vous pouvez déployer des profils d’appareil, également appelés profils de configuration, pour gérer les paramètres et les fonctionnalités sur les appareils.

Pour déployer ces protections, utilisez l’ensemble d’articles suivant.

Étapes suivantes avec E5

Microsoft 365 E5 inclut également Microsoft Defender for Endpoint. Après avoir déployé Microsoft Defender for Endpoint, vous pouvez obtenir plus d’informations et de protection de vos appareils en intégrant Microsoft Intune à Defender pour point de terminaison. Pour les appareils mobiles, cela inclut la possibilité de surveiller les risques d’appareil en tant que condition d’accès. Pour les appareils Windows, vous pouvez surveiller la conformité de ces appareils aux bases de référence de sécurité.

Microsoft 365 E5 inclut également la protection contre la perte de données de point de terminaison (DLP). Si votre organisation comprend déjà vos données, a développé un schéma de confidentialité des données et appliqué le schéma, vous pouvez être prêt à étendre des éléments de ce schéma aux points de terminaison à l’aide de stratégies DLP Microsoft Purview.

Pour déployer ces fonctionnalités de protection et de gestion des appareils, utilisez les articles suivants :

Étape 5. Déployer ou valider vos services de protection contre les menaces

Pour détecter les activités des acteurs malveillants et les empêcher d’accéder à Copilot, l’étape suivante consiste à utiliser les services de protection contre les menaces de Microsoft 365. Vous devez vérifier que :

  • Vous pouvez empêcher automatiquement les types courants d’attaques par email et basées sur les appareils.
  • Vous pouvez utiliser des fonctionnalités pour réduire la surface d’attaque des appareils Windows.
  • Vous pouvez détecter et répondre aux incidents de sécurité avec une suite complète de services de protection contre les menaces.

Bien démarrer avec E3

Microsoft 365 E3 inclut plusieurs fonctionnalités clés dans Defender pour Office 365 et Defender pour point de terminaison. En outre, Windows 11 et Windows 10 incluent de nombreuses fonctionnalités de protection contre les menaces.

Microsoft Defender pour Office 365 Plan 1

Microsoft Defender pour Office 365 P1 inclut Exchange Online Protection (EOP), qui sont inclus dans Microsoft 365 E3. EOP vous aide à protéger vos outils de messagerie et de collaboration contre le hameçonnage, l’emprunt d’identité et d’autres menaces. Utilisez ces ressources pour configurer la protection anti-programme malveillant, anti-courrier indésirable et anti-hameçonnage :

Defender pour point de terminaison P1

Microsoft 365 E3 inclut Microsoft Defender for Endpoint P1, qui comprend les fonctionnalités suivantes :

  • Protection de nouvelle génération : permet de protéger vos appareils contre les menaces émergentes en temps réel. Cette fonctionnalité inclut Microsoft Defender Antivirus, qui analyse en permanence votre appareil en surveillant le comportement des fichiers et des processus.
  • Réduction de la surface d’attaque : empêche les attaques de se produire au premier endroit en configurant les paramètres qui bloquent automatiquement l’activité potentiellement suspecte.

Utilisez ces ressources pour configurer Defender pour point de terminaison Plan 1 :

Fonctionnalités de protection Windows

Par défaut, Windows inclut une sécurité et des protections fortes sur le matériel, le système d’exploitation, les applications, etc. Pour en savoir plus, consultez Présentation de la sécurité Windows. Le tableau suivant répertorie les fonctionnalités importantes de protection contre les menaces du client Windows incluses dans Microsoft 365 E3.

Fonctionnalité Ressources
Windows Hello Vue d’ensemble de Windows Hello Entreprise
Pare-feu Microsoft Defender Documentation sur le Pare-feu Windows Defender
Microsoft Defender SmartScreen Vue d'ensemble de Microsoft Defender SmartScreen
Contrôle d’application pour Windows Contrôle d’application pour Windows
BitLocker Vue d’ensemble du chiffrement de l’appareil BitLocker dans Windows
Microsoft Defender Application Guard pour Edge Vue d'ensemble Microsoft Defender Application Guard

Ces fonctionnalités peuvent être configurées directement sur le client, à l’aide d’objets de stratégie de groupe (GPO) ou à l’aide d’un outil de gestion des appareils, y compris Intune. Toutefois, vous pouvez gérer les paramètres sur les appareils dans Intune uniquement en déployant des profils de configuration, qui est une fonctionnalité de Microsoft 365 E5.

Étapes suivantes avec E5

Pour une protection plus complète contre les menaces, pilotez et déployez Microsoft Defender XDR, qui inclut :

  • Defender pour Identity
  • Defender pour Office 365 P2
  • Defender pour point de terminaison P2
  • Defender for Cloud Apps

Microsoft recommande d’activer les composants de Microsoft 365 dans l’ordre illustré :

Diagramme du processus d’évaluation et de déploiement des composants Microsoft Defender XDR.

Pour plus d’informations et une description de cette illustration, consultez Évaluer et piloter Microsoft Defender XDR.

Après avoir déployé Microsoft Defender XDR, intégrez ces outils de détection et de réponse étendues (XDR, eXtended Detection and Response) à Microsoft Sentinel. Microsoft Sentinel est sous licence et facturé séparément de Microsoft 365 E5. Utilisez ces ressources pour plus d’informations :

Étape 6. Déployer ou valider une collaboration sécurisée pour Microsoft Teams

Microsoft fournit des conseils pour protéger vos équipes à trois niveaux différents : base de référence, sensible et hautement sensible. L’introduction de Copilot est un bon moment pour passer en revue votre environnement et vous assurer que la protection appropriée est configurée. Procédez comme suit :

  1. Identifiez Teams ou les projets qui justifient une protection hautement sensible. Configurez les protections pour ce niveau. De nombreuses organisations n’ont pas de données qui nécessitent ce niveau de protection.
  2. Identifiez Teams ou les projets qui justifient une protection sensible et appliquent cette protection.
  3. Vérifiez que tous les projets et Teams sont configurés pour la protection de référence, au minimum.

Pour plus d’informations, consultez ces ressources :

Partage externe

L’introduction de Copilot est un bon moment pour passer en revue vos stratégies pour partager des fichiers avec des personnes extérieures à votre organisation et pour autoriser des contributeur externes. Les comptes invités ne sont pas autorisés à utiliser Copilot.

Pour le partage avec des personnes extérieures à votre organisation, vous devrez peut-être partager des informations de confidentialité. Consultez ces ressources :

Pour collaborer avec des personnes extérieures à votre organisation, consultez les ressources suivantes :

Étape 7. Déployer ou valider des autorisations utilisateur minimales sur des données

Pour empêcher les données de votre organisation d’être en danger de surexposition ou de sur-partage, l’étape suivante consiste à s’assurer que tous les utilisateurs disposent d’un accès suffisant (JEA) pour effectuer leurs travaux et plus encore. Les utilisateurs ne doivent pas découvrir les données qu’ils ne sont pas censés être en mesure d’afficher ou de partager des données qu’ils ne doivent pas partager.

Pour empêcher le sur-partage, implémentez les exigences d’autorisations et les stratégies organisationnelles que tous les utilisateurs doivent suivre et former vos utilisateurs pour les utiliser. Par exemple, placez des contrôles, comme exiger des révisions d’accès au site par les propriétaires de site ou restreindre l’accès à des groupes de sécurité définis à partir d’un emplacement central.

Pour détecter le sur-partage existant :

  • Au niveau du fichier

    Utilisez Protection des données Microsoft Purview et ses contrôles de classification des données, l’étiquetage de contenu intégré et les stratégies de protection contre la perte de données correspondantes.

    Ces fonctionnalités peuvent vous aider à identifier les fichiers dans Microsoft Teams, les sites SharePoint, les emplacements OneDrive, dans les emails, dans les conversations de conversation, dans votre infrastructure locale et sur les appareils de point de terminaison contenant des informations sensibles ou du contenu classifié, puis appliquer automatiquement des contrôles pour limiter leur accès.

  • Au niveau de l’équipe de site et du conteneur dans Microsoft Teams et SharePoint

    Vous pouvez auditer l’accès au contenu partagé au niveau du site et de l’équipe et appliquer des restrictions qui limitent la découverte des informations à ceux qui doivent avoir accès uniquement.

    Pour automatiser ce processus encore plus, Microsoft Syntex – SharePoint Advanced Management vous aide à trouver un sur-partage potentiel avec vos fichiers SharePoint et Microsoft Teams.

Application de protections et déploiement de Copilot en parallèle

Pour simplifier l’attribution de licences Copilot dans votre client avec les protections appropriées en place, vous effectuez les deux en parallèle. Le diagramme suivant montre comment vous pouvez passer par les différentes phases de déploiement des protections avant d’attribuer des licences Copilot à des comptes d’utilisateurs individuels et à leurs appareils une fois qu’ils sont protégés.

Diagramme de l’application de protections et du déploiement de Copilote en parallèle.

Comme le montre également le diagramme, vous pouvez déployer la protection des données au sein de votre organisation pendant que vous déployez des protections d’accès aux identités et aux appareils.

Formation

Mise en route de Copilot

Formation Mise en route de Copilot
Ce parcours d’apprentissage vous guide tout au long des concepts de base de Copilot, présente sa polyvalence dans diverses applications Microsoft 365, et offre des conseils sur l’optimisation de son potentiel.

Début >

Formation Préparer votre organisation pour Copilot
Ce parcours d’apprentissage examine la conception de Copilot, ses fonctionnalités de sécurité et de conformité, et fournit des instructions sur la façon d’implémenter Copilot.

Début >

Étapes suivantes

Regardez la vidéo Comment se préparer pour Copilot.

Consultez ces articles supplémentaires pour Confiance Zéro et Microsoft Copilot :

Voir aussi :

Affiche récapitulative

Pour obtenir un résumé visuel des informations contenues dans cet article, consultez l’illustration Architecture et déploiement de Copilot.

Miniature de l’affiche Architecture de Copilot

PDF | Visio

Utilisez le fichier Visio pour personnaliser ces illustrations pour votre propre utilisation.

Pour plus d’illustrations techniques de Confiance Zéro, cliquez ici.

Références

Reportez-vous à ces liens pour en savoir plus sur les différents services et technologies mentionnés dans cet article.